Le projet Ketman, qui a bénéficié d'une bourse dans le cadre du programme ETH Rangers, a identifié en six mois une centaine de professionnels nord-coréens des technologies de l'information travaillant dans des entreprises de cryptomonnaies sous de fausses identités.
Le programme ETH Rangers est terminé et les résultats parlent d'eux-mêmes : plus de 5,8 millions de dollars récupérés, plus de 785 vulnérabilités signalées, plus de 100 agents nord-coréens identifiés, et bien plus encore.
Défense décentralisée pour un réseau décentralisé.
Lire le résumé complet
— Programme de soutien à l'écosystème EF (@EF_ESP) 16 avril 2026
La Fondation Ethereum a publié un rapport sur le programme ETH Rangers, une initiative lancée fin 2024 pour financer des chercheurs indépendants travaillant sur la sécurité de l'écosystème.
L'un des chercheurs a alloué des fonds à la création du projet Ketman, spécialisé dans la détection de « développeurs fictifs » dans le secteur des cryptomonnaies. Leurs recherches se sont concentrées sur des opérations soutenues par la RPDC.
Des spécialistes informatiques nord-coréens travaillent depuis des années sous de fausses identités au sein d'entreprises du Web3, percevant un salaire en échange de renseignements et d'un accès potentiel à l'infrastructure des projets. Les opérations les plus médiatisées sont menées par le groupe Lazarus.
Pendant six mois, l'équipe de Ketman a recensé 100 opérateurs nord-coréens actifs au sein d'organisations Web3 et a informé 53 projets de la présence probable d'agents actifs dans leurs équipes.
D’après les documents publiés sur le site web de Ketman, les experts se sont concentrés sur les caractéristiques identifiées des « tactiques, comportements et modèles opérationnels » inhérents aux opérateurs informatiques nord-coréens, en particulier :
- Réutilisation des avatars et des métadonnées de profil sur plusieurs comptes GitHub sous différents noms ;
- Divulgation accidentelle d'adresses électroniques sans rapport avec le sujet lors du partage d'écran pendant les appels ;
- Paramètres de langue système par défaut qui entrent en conflit avec la citoyenneté déclarée ;
- des schémas comportementaux spécifiques en matière de communication et des horaires de travail atypiques pour le fuseau horaire spécifié.
La méthodologie employée pour détecter les agents nord-coréens au sein du projet et de la Fondation Ethereum n'a pas été divulguée en détail.
Outre ses activités d'enquête, Ketman a développé un outil open source permettant de détecter automatiquement les activités suspectes sur GitHub. L'entreprise a également collaboré avec l'organisation à but non lucratif Security Alliance afin de créer un cadre de vérification standard pour l'identification des travailleurs informatiques nord-coréens lors de leur embauche.
« Ce travail s’attaque directement à l’une des menaces les plus urgentes en matière de sécurité opérationnelle auxquelles l’écosystème Ethereum est confronté aujourd’hui », a déclaré la Fondation Ethereum dans un rapport faisant suite à l’opération ETH Rangers.
La fondation a soutenu un total de 17 boursiers dans le cadre de cette initiative, travaillant dans un large éventail de domaines, allant de la recherche sur les vulnérabilités et les outils de sécurité à l'éducation, l'analyse des menaces et la réponse aux incidents.
Pour rappel, le 1er avril, la plateforme DeFi Drift Protocol, basée sur Solana, a été victime d'un piratage informatique d'un montant de 280 millions de dollars. Selon les conclusions de l'équipe du projet et d'experts en cybersécurité, des pirates informatiques nord-coréens seraient à l'origine de cette attaque.