Ethereum เปิดโปงปฏิบัติการล่าสายลับโสมแดงกว่า 100 รายแฝงตัวในบริษัท Web3 หวังเจาะระบบขโมยคริปโต

มูลนิธิ Ethereum เผยผลสำเร็จโครงการทุน ETH Rangers หนุนปฏิบัติการ Ketman Project สืบสาวราวเรื่องเครือข่ายแรงงานไอทีเกาหลีเหนือ ระบุตัวตนสายลับดิจิทัลได้กว่า 100 ราย แทรกซึมลึกถึงแกนในองค์กร Web3 พร้อมส่งสัญญาณเตือนภัยให้กับ 53 โครงการที่กำลังตกเป็นเหยื่อโดยไม่รู้ตัว งานนี้สะท้อนให้เห็นว่าแนวรบด้านความมั่นคงปลอดภัยของอีโคซิสเต็มไม่ได้อยู่ที่โค้ดเพียงอย่างเดียว แต่อยู่ที่การคัดกรองมนุษย์ผู้อยู่เบื้องหลังแป้นพิมพ์อย่างเข้มข้นด้วยเช่นกัน

รายงานล่าสุดจากมูลนิธิ Ethereum (Ethereum Foundation) ได้เปิดเปลือยปฏิบัติการข่าวกรองทางไซเบอร์ครั้งสำคัญที่เป็นภัยคุกคามเงียบต่ออุตสาหกรรมคริปโตเคอร์เรนซีทั่วโลก เมื่อโครงการที่ได้รับการสนับสนุนทางการเงินจากกองทุน Ethereum Foundation สามารถระบุตัวตนและเปิดโปงสายลับสัญชาติเกาหลีเหนือที่ปลอมตัวเป็นนักพัฒนาซอฟต์แวร์แฝงตัวทำงานอยู่ภายในบริษัท Web3 ได้มากถึง 100 ราย

ปฏิบัติการดังกล่าวเป็นผลพวงมาจากโครงการ ETH Rangers ซึ่งมูลนิธิ Ethereum ได้ริเริ่มขึ้นในช่วงปลายปี พ.ศ. 2567 โดยมีวัตถุประสงค์เพื่อจัดสรร "เงินอุดหนุนสำหรับบุคคลที่ทำงานด้านความมั่นคงปลอดภัยอันเป็นประโยชน์ต่อสาธารณะ" ภายในอีโคซิสเต็ม หนึ่งในผู้รับทุนรายสำคัญได้นำทรัพยากรดังกล่าวไปพัฒนาโครงการที่มีชื่อว่า Ketman Project โดยมุ่งเน้นการสืบสวนสอบสวน "นักพัฒนาปลอม" ที่ฝังตัวอยู่ในแวดวงคริปโต โดยเฉพาะอย่างยิ่งกลุ่มผู้ปฏิบัติการที่มีต้นทางมาจากสาธารณรัฐประชาธิปไตยประชาชนเกาหลี (DPRK) หรือเกาหลีเหนือ

ภายในระยะเวลา 6 เดือนภายใต้การสนับสนุนของทุนดังกล่าว Ketman Project ได้สร้างผลลัพธ์ที่น่าทึ่งด้วยการระบุตัวตน "ผู้ปฏิบัติงานด้านไอทีชาวเกาหลีเหนือจำนวน 100 รายที่กำลังทำงานอยู่ภายในองค์กร Web3" พร้อมทั้งดำเนินการติดต่อไปยังโครงการต่างๆ ประมาณ 53 โครงการ เพื่อแจ้งเตือนให้ทราบว่าพวกเขาอาจกำลังจ้างงานสายลับปฏิบัติการของเกาหลีเหนืออยู่โดยรู้เท่าไม่ถึงการณ์

มูลนิธิ Ethereum ได้ออกแถลงการณ์อย่างเป็นทางการถึงความสำคัญของภารกิจนี้ว่า "งานชิ้นนี้ได้ตอบสนองโดยตรงต่อหนึ่งในภัยคุกคามด้านความมั่นคงในการปฏิบัติงานที่เร่งด่วนที่สุดซึ่งระบบนิเวศของ Ethereum กำลังเผชิญอยู่ในปัจจุบัน"

ปรากฏการณ์ดังกล่าวไม่ใช่เรื่องใหม่ในโลกของสินทรัพย์ดิจิทัล ตลอดหลายปีที่ผ่านมา กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือได้สร้างความเสียหายต่อภาคส่วนคริปโตอย่างต่อเนื่อง โดยมีมูลค่าความเสียหายจากทรัพย์สินที่ถูกขโมยไปนับหลายพันล้านดอลลาร์สหรัฐ หนึ่งในกลุ่มแฮ็กเกอร์ที่มีชื่อเสียงกระฉ่อนและเป็นที่หวาดหวั่นของหน่วยงานความมั่นคงทั่วโลกคือ "Lazarus Group" ซึ่งมีประวัติการโจมตีทางการเงินและการโจรกรรมสินทรัพย์ดิจิทัลในระดับที่สร้างแรงสั่นสะเทือน

แม้ว่ามูลนิธิ Ethereum จะไม่ได้ให้รายละเอียดเชิงเทคนิคในเชิงลึกว่าทีมงาน Ketman Project ใช้วิธีการใดในการสืบหาตัวตนของสายลับเกาหลีเหนือได้อย่างแม่นยำ แต่การวิเคราะห์ข้อมูลจากเว็บไซต์ของโครงการเผยให้เห็นถึงการทำงานเชิงนิติวิทยาศาสตร์ไซเบอร์ชั้นสูง โดยมีการเผยแพร่บทความวิชาการที่ชำแหละ "กลยุทธ์ พฤติกรรม และรูปแบบการปฏิบัติการ" ที่ผู้ปฏิบัติการเหล่านี้ใช้เป็นประจำ


ทั้งนี้วิธีดังกล่าวรวมถึงการตรวจจับความผิดปกติทางเทคนิคที่เรียกว่า "Technical Red Flags" อาทิ การนำรูปภาพแทนตัว (Avatar) และข้อมูลเมตาของโปรไฟล์เดิมกลับมาใช้ซ้ำในบัญชี GitHub หลายบัญชี, การเผลอเปิดเผยที่อยู่อีเมลที่ไม่มีการเชื่อมโยงกันในระหว่างการแชร์หน้าจอโดยไม่ได้ตั้งใจ รวมถึงการตั้งค่าภาษาเริ่มต้นของระบบปฏิบัติการ เช่น ภาษารัสเซีย ซึ่งขัดแย้งกับสัญชาติที่แอบอ้างในประวัติส่วนตัว รายละเอียดปลีกย่อยเหล่านี้เมื่อถูกเชื่อมโยงด้วยอัลกอริทึมที่แม่นยำก็เพียงพอที่จะรวบรวมเป็นหลักฐานมัดตัวผู้ไม่หวังดีได้อย่างสิ้นสงสัย

นอกเหนือจากการไล่ล่าสายลับแล้ว Ketman Project ยังได้สร้างผลงานเชิงโครงสร้างเพื่อยกระดับความมั่นคงของอุตสาหกรรมในระยะยาว ด้วยการพัฒนาเครื่องมือตรวจจับแบบโอเพนซอร์ส (Open-Source Detection Tool) ที่สามารถระบุกิจกรรมน่าสงสัยบนแพลตฟอร์ม GitHub ได้โดยอัตโนมัติ นอกจากนี้ ยังได้ร่วมมือกับ Security Alliance ซึ่งเป็นองค์กรไม่แสวงหาผลกำไรที่มุ่งเน้นด้านบล็อกเชน ในการร่างกรอบมาตรฐานอุตสาหกรรม (Industry-Standard Framework) สำหรับการระบุตัวตนแรงงานไอทีชาวเกาหลีเหนือ เพื่อให้บริษัทคริปโตทั่วโลกสามารถนำไปใช้เป็นแนวทางในการคัดกรองบุคลากรได้อย่างมีประสิทธิภาพ

อย่างไรก็ตามความเคลื่อนไหวครั้งนี้ตอกย้ำให้เห็นว่าในสมรภูมิของอุตสาหกรรมคริปโตและเทคโนโลยี Web3 ภัยคุกคามมิได้จำกัดอยู่เพียงช่องโหว่ของสมาร์ทคอนแทรกต์หรือการโจมตีแบบฟิชชิงเท่านั้น หากแต่เป็นการทำสงครามลูกผสมผ่านมิติของทรัพยากรมนุษย์ การแฝงตัวของสายลับเกาหลีเหนือในฐานะนักพัฒนาจึงเปรียบเสมือนการฝัง "ไทม์บอมบ์" ทางเศรษฐกิจไว้ภายในองค์กร ซึ่งสามารถใช้เป็นช่องทางในการดูดซับข้อมูลภายใน ขโมยทรัพย์สินดิจิทัล และบ่อนทำลายความมั่นคงของระบบการเงินโลกยุคใหม่ได้อย่างแนบเนียนและยากแก่การป้องกัน