Los trabajadores de TI norcoreanos se han estado infiltrando en empresas de criptomonedas y proyectos de finanzas descentralizadas durante al menos siete años, según un analista de ciberseguridad.
“Muchos trabajadores de TI de la RPDC construyeron los protocolos que conoces y amas, desde el verano de DeFi”, dijo la desarrolladora de MetaMask e investigadora de seguridad Taylor Monahan el domingo.
Monahan afirmó que más de 40 plataformas DeFi, algunas de ellas nombres conocidos, han tenido trabajadores de TI norcoreanos trabajando en sus protocolos.
La “experiencia de siete años en desarrollo de blockchain” en su currículum “no es una mentira”, agregó.
El Grupo Lazarus es un colectivo de hackers afiliado a Corea del Norte que ha robado una estimación de $7 mil millones en cripto desde 2017, según analistas de la red de creadores R3ACH.
Se ha vinculado a los hacks más destacados de la industria, incluyendo el exploit del Ronin Bridge de $625 millones en 2022, el hack de WazirX de $235 millones en 2024 y el robo de Bybit de $1.4 mil millones en 2025.
Los comentarios de Monahan llegaron solo unas horas después de que el Drift Protocol dijera que tenía “confianza media-alta” en que el reciente exploit de $280 millones en su contra fue llevado a cabo por un grupo afiliado al estado norcoreano.
Ejecutivos de DeFi hablan sobre intentos de infiltración de la DPRK
Tim Ahhl, fundador de Titan Exchange, un agregador DEX basado en Solana, dijo que en un trabajo anterior, “entrevistamos a alguien que resultó ser un operativo de Lazarus.”
Ahhl dijo que el candidato “hizo videollamadas y estaba extremadamente calificado.” Rechazó una entrevista en persona y luego descubrieron su nombre en un “info dump” de Lazarus.
La Oficina de Control de Activos Extranjeros de EE. UU. tiene un sitio web donde las empresas de criptomonedas pueden verificar contrapartes contra listas de sanciones OFAC actualizadas y estar alerta a patrones consistentes con el fraude laboral en IT.
Línea de tiempo del ataque del Grupo Lazarus. Fuente: R3ACH Network
Relacionado: Drift Protocol dice que el exploit de $280M tomó 'meses de preparación deliberada'
Drift Protocol fue atacado por intermediarios de terceros afiliados a la DPRK
El postmortem de Drift Protocol sobre el exploit de la semana pasada de $280 millones también apuntó a hackers afiliados a Corea del Norte por el ataque.
Sin embargo, dijo que las reuniones cara a cara que eventualmente llevaron al exploit no fueron con nacionales norcoreanos, sino más bien con “intermediarios de terceros” con “identidades completamente construidas que incluyen historiales laborales, credenciales públicas y redes profesionales.”
“Años después, y parece que Lazarus ahora tiene no-NKs [norcoreanos] trabajando para ellos para engañar a la gente en persona,” dijo Ahhl.
Las amenazas a través de entrevistas de trabajo no son sofisticadas
El Grupo Lazarus es el nombre colectivo para “todos los actores cibernéticos patrocinados por el estado de la DPRK,” explicó el investigador de blockchain ZachXBT el domingo.
“El problema principal es que todos los agrupan juntos cuando la complejidad de las amenazas es diferente,” añadió.
ZachXBT dijo que las amenazas a través de publicaciones de trabajos, LinkedIn, correo electrónico, Zoom o entrevistas son “básicas y de ninguna manera sofisticadas … lo único al respecto es que son implacables.”
“Si tú o tu equipo todavía caen en ellos en 2026, es muy probable que sean negligentes,” dijo.
Hay dos tipos de vectores de ataque, uno más sofisticado que el otro. Fuente: ZachXBT
Revista: No más colapsos del 85% de Bitcoin, Taiwán necesita reserva de guerra BTC: Digest de Hodler