Uma equipe pequena de trabalhadores de TI da Coreia do Norte foi ligada a um hack de US$ 680 mil contra o marketplace de fan tokens Favrr, que ocorreu em junho. A equipe, que utiliza ferramentas do Google e até aluga computadores, tem como objetivo infiltrar-se em projetos de criptomoedas. Essas informações vieram à tona graças a capturas de tela de um dos dispositivos usados pelos hackers, publicadas pelo investigador cripto ZachXBT.
Em uma postagem, ZachXBT revelou que essa equipe já é responsável por um exploit de US$ 1,4 bilhão contra a exchange cripto Bitbit em fevereiro, além de terem desviado milhões de dólares de protocolos de criptomoedas ao longo dos anos. O que surpreende é que os seis trabalhadores de TI compartilham pelo menos 31 identidades falsas, com documentos de identidade, números de telefone e até contas compradas em plataformas como LinkedIn e UpWork. Tudo isso para disfarçar suas origens e conseguir empregos em projetos de criptomoedas.
Uma identidade, por exemplo, fez uma entrevista para uma vaga de engenheiro full-stack na Polygon Labs. Outras evidências indicam que a equipe tem respostas ensaiadas para perguntas em entrevistas, mencionando experiência em empresas reconhecidas como OpenSea e Chainlink.
Google e softwares de trabalho remoto
Os registros revelam que esses trabalhadores conseguiram se colocar em posições como “desenvolvedor blockchain” e “engenheiro de smart contracts” em plataformas de freelancers, usando softwares de acesso remoto, como o AnyDesk, para realizar os trabalhos escondidos de seus empregadores. Para proteger suas localizações, eles também utilizaram VPNs.
A análise de documentos mostra que eles gerenciavam tarefas e orçamentos com ferramentas do Google, se comunicando em inglês com a ajuda do tradutor do Google. Em maio, a equipe gastou cerca de US$ 1.489,80 em despesas operacionais, o que indica um planejamento sério nas suas atividades.
Hack de US$ 680 mil ligado à equipe norte-coreana
Os norte-coreanos costumam usar o Payoneer para converter moeda tradicional em criptomoeda para receber pagamento por seus serviços. Um dos endereços de carteira relacionado ao ataque de US$ 680 mil contra o Favrr é o “0x78e1a”, que está intimamente ligado a essa operação. Na época, ZachXBT alegou que o diretor de tecnologia do projeto, conhecido como “Alex Hong”, era na verdade um trabalhador norte-coreano disfarçado.
Evidências também revelaram que a equipe estava interessada em saber se tokens ERC-20 poderiam ser utilizados na rede Solana. Além disso, fizeram buscas sobre as principais empresas de desenvolvimento de inteligência artificial na Europa, mostrando uma diversidade de interesse em tecnologia.
Empresas cripto precisam reforçar verificação de antecedentes
ZachXBT fez um chamado para que empresas de tecnologia e criptomoedas adotem processos mais rigorosos na verificação de antecedentes de candidatos. Ele apontou que muitas operações não são tão sofisticadas, mas o alto volume de aplicações faz com que recrutadores acabem negligenciando análises mais detalhadas.
A falta de colaboração entre as empresas de tecnologia e plataformas de freelancers também contribui para essa situação. Recentemente, o Departamento do Tesouro dos Estados Unidos sancionou duas pessoas e quatro entidades que estavam envolvidas em uma rede de trabalhadores de TI operada pela Coreia do Norte. Essa rede tinha como alvo empresas do setor de criptomoedas, o que mostra que a necessidade de vigilância continua crescente.
