ブロックチェーン調査を手掛けるZachXBT氏は、北朝鮮の開発者が「確立された」仮想通貨プロジェクトで月に最大50万ドルもの収入を得ている証拠を発見したと述べている。
ZachXBT氏の8月15日のX投稿によれば、「アジアの単一の組織」が北朝鮮から運営されている可能性が高く、少なくとも21人の労働者を雇い、25以上の仮想通貨プロジェクトに対して月に30万ドルから50万ドルを受け取っているという。
「最近、チームが助けを求めてきた。悪意のあるコードがプッシュされた後に財務から130万ドルが盗まれたためだ」とZachXBT氏は述べた。「チームは知らなかったが、複数の北朝鮮IT労働者を開発者として雇っており、彼らは偽の身分を使用していた」。
ZachXBT氏によれば、今回の130万ドルの盗難は、盗難アドレスへの送金を含む一連の取引を経て、最終的に16.5ETHが2つの異なる取引所に送られたという。
さらに調査を進めた結果、これらの開発者がより広範なネットワークの一部であるとZachXBT氏は考えている。
複数の支払アドレスを追跡したところ、過去1か月で37万5000ドルを受け取っている開発者のクラスターが見つかり、2023年7月から2024年までの間に550万ドルに達する取引が、取引所の入金アドレスに流れ込んでいた。
これらの資金は北朝鮮のIT労働者と関係しており、さらにシム・ヒョンソプ氏という人物にまで繋がっている。この人物は、米財務省外国資産管理局(OFAC)によって北朝鮮の兵器プログラムを支援するための金融取引を調整しているとされる。
ZachXBT氏の調査によれば、他の支払アドレスもOFAC制裁対象者のキム・サンマン氏に密接に関連していることが判明した。米国の法執行機関は、キム氏が「海外の北朝鮮労働者派遣団の家族への給与支払いに関与している」と考えており、北朝鮮関連の組織にIT機器を販売することで200万ドルを受け取っていたという。
ZachXBT氏は、米国やマレーシアに拠点を置いていると主張する開発者の中にロシアのIPが重複している事例も発見した。少なくとも1人の労働者は「偶然に他のIDをメモ帳に漏らした」。ZachXBT氏が見つけた開発者の中には、リクルート会社によって配置された者もおり、場合によっては互いに仕事を紹介し合っていた。
「多くの経験豊富なチームがこれらの開発者を雇っているので、彼らだけを責めるのは公平ではない」とZachXBT氏は語った。「投稿後すぐに、別のプロジェクトが私のリストにある北朝鮮IT労働者(ナオキ・ムラノ)を雇っていることに気づき、チャットで私の投稿を共有した。すぐにムラノはチャットを離れ、GitHubを消去した」。
北朝鮮関連の組織は、長年にわたっていくつかのサイバー攻撃の背後にいると考えられている。彼らのサイバー犯罪の手口は、フィッシング、ソフトウェアの脆弱性の悪用、サイバー攻撃、プライベートキーの悪用、そして直接の潜入など多岐にわたる。彼らの一部は、これらの攻撃で資金を稼ぎ、その資金は北朝鮮に送金しているとみられる。
2022年には、米司法省、国務省、財務省が、特に仮想通貨関連のフリーランス技術者への北朝鮮労働者の流入について共同で警告を発表した。
最も悪名高い北朝鮮のハッカーグループである「ラザルス」は、2023年までの6年間で30億ドル以上の仮想通貨を盗んだと報告されている。