从一个朝鲜人到四个朝鲜人，再到五个威胁

故事0xNickLFranklin还在继续[0]。让我们分享我们发现的一个以 Aqua 协议为中心的朝鲜 IT 工作者完整集群……以及其他一些情况。

Nick L Franklin 冒充安全工程师，专注于描述简单的 Web3 攻击。他很可能与AppleJesus朝鲜发起的 [1] 威胁行动有关。该行动针对安全研究人员，最早可追溯到 2021 年。Nick L Franklin在试图传播恶意文件后，他暴露了自己是朝鲜行动者之一.app。

[0]https://x.com/danielvf/status/1905642180749775189

[1]https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/

Aqua 协议核心团队

Aqua Protocol 被发现是与 相关的加密操作之一0xNickLFranklin。这个基于 Aave V3 架构构建的“虚假” Web3 借贷应用程序现已被彻底清除[0]。该组织的代码库以及协议的流动性（近 80 万美元，全部由朝鲜参与者控制）已被抹去[1]。Nick 是该协议的两位核心贡献者之一。

• Aqua 协议组织：（ https://github.com/techaqualoan于 2024 年 3 月 27 日删除）

• 核心贡献者：

• https://github.com/NickLFranklin（主要演员，账号于2024年3月28日被删除）

• https://github.com/mpereiraesaa（可能是购买或被盗的帐户，仍然活跃）

[0] Aqua 协议清理：https://x.com/blackbigswan/status/1905216069813285189

[1] 备份截图查看：https://x.com/blackbigswan/status/1905003831148302751

Aqua 协议 IT 工作者

大部分讨论Nick L Franklin都围绕着他在不同的 Telegram 聊天室中轮换身份，以及针对其他工程师、协议和 Web3 生态系统参与者的冷门外展活动展开。然而，鉴于 Ketman 项目专注于 Github 和 OSS 攻击向量，我们探索了该向量并发现了其中的更多关联。值得注意的是，这是朝鲜惯用的作案手法——他们很少单独行动，一旦找到一个攻击者，通常会导致整个关联账户网络被瓦解。这次也不例外。

参与 Aqua Protocol 开发的其他开发人员包括：

• https://github.com/SonataM（Aqua Protocol 的前端开发人员和初始测试人员/部署人员）

• https://github.com/CrazyDream000（的替代角色SonataM）

• https://github.com/jewelas（通过共同贡献连接的账户CrazyDream000）

这些威胁类型各有不同，但都混合在同一个网络中。

四名朝鲜人，五大威胁

1.SonataM：托管“虚假”协议（合约和前端）的代码。他还托管了大量复制的网站（HTML代码） ，aqualoan很可能用于网络钓鱼/冒充攻击或拉拢行动。这些网站似乎与以下内容相关：liquina、、、、、、、、、、、、、。trumpxbricstrumpshairdecoyarkyorkenlouievodcatcr900pekuufobirddogmoocat

• 其中大多数似乎是跨不同区块链的 memecoin 项目。

• 有些是原始项目的“假”版本，部署到与原始项目不同的网络，以混淆买家。

• 其他项目则是自力更生的“地毯式”拉动项目。这进一步证明，朝鲜不仅参与了黑客攻击，还利用其掌握的巨额资金，部署了大量的初始流动资金。

2.CrazyDream000：是一位极其活跃的攻击者。即使不考虑与 的关联，该账户本身也展现出朝鲜IT工作者的常见特征0xNickLFranklin。该账户CrazyDream000向至少三个看似合法的组织提交了代码：koinos、CarmineOptions和provable-things。CrazyDream000该账户似乎是 的另一个身份SonataM，由同一个人运营。

3.jewelas：展现了朝鲜IT工作者的常见特征。该攻击者对于揭露与原始威胁行为者相关的朝鲜IT工作者剩余网络至关重要0xNickLFranklin。该攻击者曾试图在2023年jewelas获得就业机会。holdex

• 然而，最奇怪的是jewelas与潜在欺诈性CEX的连接difx.com。由于未知原因，jewelas可以访问该网站的前端代码difx.com。

• difx.com该网站本身可疑，多条负面评论声称提现被阻止。该difx.com团队似乎是匿名的；Crunchbase 上列出的工程师姓名与调查中发现的电子邮件地址不符。

• jewelas要么是被 CEX 雇佣来从事前端工作，要么difx.com本身就是由朝鲜运营的。

威胁摘要

• AppleJesus：NickLFranklin在安全社区中建立融洽关系，以传播恶意负载。[0]

• WageMole：jewelas试图在 2023 年获得就业机会。holdex.com[1]

• Contagious 访谈 / AquaProtocol：一个“假”的 Web3 协议，注入了近 80 万美元的流动性。该协议可能用于在涉及鱼叉式网络钓鱼工程师和投资者的恶意活动中建立信誉（NickLFranklin、SonataM、CrazyDream000）。[2]

• 假冒 Memecoin 登陆页面（网络钓鱼）：用于窃取凭证并欺骗散户投资者（SonataM）。[3]

• 假冒 Memecoin 登陆页面 (Rug Pull) : 用于直接从散户投资者那里盗窃 (“rug pulling”) 资金 ( SonataM)。[4]

• 联系不明difx.com：可能与朝鲜主导的 CEX 诈骗有关jewelas，或涉及朝鲜 IT 工作者。[5]

[0]https://x.com/pcaversaccio/status/1905240537071833529

[1]https://github.com//holdex/holdex-venture-studio/issues/404

[2]https://x.com/blackbigswan/status/1905003274098417940

[3]https://liquina.vip/ fake website. The real website is https:/liquina.ai

[4]BERT on BSC is not the same as BERT on SOL, the original

[5]https://scambrokersreviews.com/crypto-scams/difx-review/

朝鲜骗局

实施诈骗/拉网式攻击通常不被认为是劳动党中央委员会的惯用伎俩。他们的行动主要被归咎于部署虚假开发者、内部威胁或恶意软件相关的活动。然而，一段时间以来，我们观察到许多“类似诈骗”的 Web3 行动出现，它们有着非常独特的特征。

最初，我们无法高度肯定地将这些活动归咎于朝鲜的行动。然而，此次0xNickLFranklin惨败最终有力地表明，此类行动确实由朝鲜实施。值得注意的是，此类行动的主要目标可能并非“骗局”（rug pull）本身，而是利用它们来提升可信度，并为标准的恶意软件传播行动建立初步立足点。这也与试图与不同的 Web3 协议建立业务联系等行为Aqua Protocol相符。0xNickLFranklin

本质上，这些是由朝鲜民主主义人民共和国运营的蜜罐，目的是引诱合法开发者和/或投资者，建立初步信誉，并最终利用这种访问权限来投递恶意负载。我们创造了“ ScamPotting ”（骗局 + 蜜罐）一词来指代这种特殊的策略。

与此同时，我们观察到与朝鲜有关的行动已经深入到区块链生态系统中每一个可能实现货币化的角落——无论是通过鱼叉式网络钓鱼获取钱包访问权限，还是通过之前黑客活动的流动资金进行直接操纵。

这里重要的教训是不要盲目相信协议或其工程师提供的报价，即使他们的代码库在 GitHub 上，他们已经部署了流动性，他们已经经历了审计过程，或者即使他们与你有共同的社交网络。

IOCs

以下是针对所讨论威胁行为者的身份相关标记列表。可以肯定的是，在招聘或尽职调查过程中，任何与下列账户相关的连接都应被视为潜在的危险信号。

（注意：GitHub 帐户等特定 IOC 的列表已包含在上面的正文中。）

SonataM

"created_at": "2024-06-23T15:07:34Z","updated_at": "2025-03-26T11:15:51Z""email": "[email protected]","name": "SonataM""email": "mooneydev9001@gmail.com","name": "SonataM"

SonataM 网络钓鱼/RugPulls：

1. cr900 - https://github.com/SonataM/cr9001. Name Change from CRISTIANO RONALDO 900to BERT on BSC2. https://t.me/bertonbsc / https://t.me/cr900_portal3. https://x.com/BERTonBSC / https://x.com/cr900_eth4. https://www.dextools.io/app/en/token/bertonbsc?t=1743262255635solana/dd8elrwk1ebt3m4zn5c4asw1ky59phpbgzjbavsg7k2r5. https://www.dextools.io/app/en/token/bertonbsc?t=17432622556356. 0xe77d3a178c9f15096e83e789a8049ef20cca10952. Liquina - https://github.com/SonataM/Liquina1. https://x.com/liquinia_eth > https://x.com/liquina_eth > https://x.com/liquina_ai > https://x.com/lqna_erc20 (notice typo)2. https://t.me/liquinia_eth > https://t.me/liquina_eth> https://t.me/liquina_ai > https://t.me/lqna_erc20 (notice typo)3. https://dexscreener.com/ethereum/0xd9e6f484f5cb1141383299c303841eb2080a4f57 (FAKE)4. https://dexscreener.com/ethereum/0x47597113c0d3cb6d6c9a0f6ba90d5f73b431b58f (RUG PULL. Website https://liquina.vip/ - hosted on vercel like GH deployments. The real web is https:/liquina.ai)3. trumpx - https://github.com/SonataM/trumpx (0xComingSoon)1. trumpx-dusky.vercel.app2. https://x.com/trumpx_erc203. https://t.me/trumpx_channel4. brics - https://github.com/SonataM/brics (0xComingSoon)1. brics-phi.vercel.app2. https://x.com/brickbrosETH/3. t.me/brickbrosETH5. trumpshair - https://github.com/SonataM/trumpshair1. trumpshair.vercel.app2. https://x.com/trumpshairETH3. https://t.me/trumpshairETH4. https://www.dextools.io/app/en/ether/pair-explorer/0x62fd37d24a2e76881e597da9ab3d51b1fa11f580?t=17321047712435. https://dexscreener.com/ethereum/0x1c00abc3869971870025b7bfffb98dac80d314cf 6. decoy - https://github.com/SonataM/decoy1. https://decoy-nu.vercel.app/2. https://www.dextools.io/app/en/ether/pair-explorer/0x52aE2BD7016c292Ed75d265E84d90Faa7A4a3113?t=17165747553333. https://dexscreener.com/ethereum/0x52aE2BD7016c292Ed75d265E84d90Faa7A4a31134. https://x.com/decoy_eth (from readme, original: https://x.com/DecoyOhtaniCoin)5. https://t.me/decoy_eth (from readme, original: https://t.me/ohtanidecoy)7. arky - https://github.com/SonataM/arky1. https://arky-drab.vercel.app/2. https://dexscreener.com/ethereum/0x4616D9B986da6fc6a1D53f2adfc45169B47757E83. https://x.com/arkyErc204. https://t.me/arkysatoshisdog (notice typo)8. orken - https://github.com/SonataM/orken/1. https://orken.vercel.app/2. https://x.com/orkenErc203. https://t.me/orkenErc209. louie - https://github.com/SonataM/louie (0xComingSoon)1. https://louie-iota.vercel.app/2. https://www.louieraccoon.com/ / https://x.com/LouieCTOSol (info.txt, org names)3. https://x.com/louieoneth 4. https://t.me/louieoneth10. vodcat - https://github.com/SonataM/vodcat (0xComingSoon)1. https://vodcat-self.vercel.app/2. https://x.com/vodcatcoinerc203. https://t.me/vodcat_channel11. peku - https://github.com/SonataM/peku1. https://peku.vercel.app/2. Impersonating #Peko (typo - Peku)3. Change of network from SOL to ETH4. https://t.me/pekueth5. https://x.com/pekueth12. ufobirddog - https://github.com/SonataM/ufobirddog1. https://ufobirddog.vercel.app/2. https://dexscreener.com/ethereum/0x5239F8233f80f9c43463e0faA53B345214A1E9dD / https://www.dextools.io/app/en/ether/pair-explorer/0x5bd3586034413a1abcd4ca684893af720903b5ac?t=17193228487143. info.txt - original: https://www.steveerc.com/ / https://x.com/Ethereum_Steve4. Original address? https://dexscreener.com/ethereum/0x4206921bf8b68dd28282206a5c1486c359df46c95. https://t.me/ubd_portal6. https://x.com/ufo_bird_dog7. https://t.me/Steve420erc (original?)13. moocat - https://github.com/SonataM/Moocat1. Abandoned? Tried to port from SOL to ETH, see screenshot

"created_at": "2023-02-23T14:14:04Z","updated_at": "2025-03-11T04:28:42Z""old_usernames": "deleted_username": ["Dima0dev","mooney0129"],"email": "[email protected]","name": "CrazyDream""email": "[email protected]","name": "Dima!!""email": "[email protected]","name": "Ryan Jacks""email": "[email protected]","name": "Dima""email": "[email protected]","name": "Mooney""email": "[email protected]","name": "Dima!!""email": "[email protected]","name": "MooneyDev""email": "[email protected]","name": "mooney0129""email": "[email protected]","name": "CrazyDream000""email": "[email protected]","name": "crazydream000""email": "mooneydev9001","name": "mooney0129""email": "[email protected]","name": "mooney0129""email": "[email protected]","name": "CrazyDream000""email": "[email protected]","name": "Dima0dev""email": "[email protected]","name": "SonataM""email": "[email protected]","name": "crazyDream000""email": "[email protected]","name": "crazydream000""email": "[email protected]","name": "dima0dev""email": "[email protected]","name": "mooney0129""email": "[email protected]","name": "sonataM""email": "[email protected]","name": "Shooter""email": "[email protected]","name": "AngrySusanoo""email": "[email protected]","name": "SusanoO""email": "[email protected]","name": "Theodor Nakajima""email": "[email protected]","name": "AlterShow"

CrazyDream00 存储库的贡献者：

CryptoSenju, jewelas

codeninja819,goldnite,zdeiby,kahangahanga,ThecoderPinar,spiderman128,smartman0307,mustafacagri,teddy3728,cupidbow20000,imhere4uu,Ydev1992,whimsicaldev1203,burnt-exe,K-NRS,coachee0103,kenjinote,GoldLuckyK,FullStackStar,kyomano,Israruddin293,whitedaisy7,robotant8888,keiru517,OlekSytn,AppServiceProvider,cumsoft,pyking319,paladin0742

"created_at": "2022-12-21T13:39:06Z","updated_at": "2025-03-25T10:06:01Z""email": "[email protected]","name": "Crypto Enthusiast""email": "[email protected]","name": "Shooter""email": "[email protected]","name": "jewelas""email": "[email protected]","name": "Kay Akira""email": "[email protected]","name": "Dima""email": "[email protected]","name": "AtosDev""email": "[email protected]","name": "AtosDev""email": "[email protected]","name": "unknown""email": "[email protected]","name": "superdev4837"

monster223223, Dima0dev (Other identity of SonataM/CrazyDev000, deleted), AtosDev (AtosLABs now), cloverdev88 (deleted), superdev4837, sup3reric, meloket, CrazyDream000

OlekSytn

原文始发于微信公众号（Ots安全）：从一个朝鲜人到四个朝鲜人，再到五个威胁