Sviluppatore nordcoreano nel team di MetaMask per un mese
Consensys non ha rilevato abusi di asset o dati, ma il caso mostra quanto siano fragili i processi legati ai contractor e al codice nei wallet come MetaMask. Anche l'FBI e TRM Labs segnalano i rischi legati alle tecniche di social engineering nordcoreane.

In breve
- Consensys ha rimosso uno sviluppatore nordcoreano dal team di MetaMask dopo che aveva avuto accesso al codice per circa un mese.
- L'uomo operava tramite una struttura da contractor e sotto falso nome; non sono emersi abusi di asset o dati.
- Il caso evidenzia quanto siano delicati gli ambienti di sviluppo e lo screening dei contractor nel settore crypto.
Consensys ha rimosso uno sviluppatore nordcoreano dal team di MetaMask dopo che per circa un mese aveva avuto accesso al codice del popolare wallet crypto. Stando a quanto riferito dall'azienda, l'uomo lavorava con un'identità falsa e non sono stati rilevati abusi di asset o dati, ma l'episodio mette comunque in evidenza quanto possano essere esposti gli ambienti di sviluppo nel settore crypto.
Accesso tramite contractor
Lo sviluppatore non era un dipendente diretto, ma era entrato attraverso una struttura da contractor. Su GitHub utilizzava il nome imyugioh, mentre internamente era registrato come Tyler Knapp. Tra il 9 marzo e aprile ha contribuito con codice per alcune parti del wallet, inclusa quella che gestisce i flussi tra crypto e contanti.
Quando Consensys ha ricostruito la situazione, l'accesso è stato revocato immediatamente. Ad aprile il general counsel Matt Corva ha anche comunicato ai dipendenti che tutte le release di prodotto andavano sospese e che bisognava evitare qualsiasi contatto con l'uomo. L'azienda ha segnalato il caso alle autorità e ora sta rivedendo le procedure di controllo sui contractor.
Un pattern più ampio legato alla Corea del Nord
Il caso si inserisce in un quadro più ampio, in cui gruppi nordcoreani si presentano come sviluppatori remoti per provare a entrare nelle aziende crypto. Le società di cybersecurity segnalano sempre più spesso questo tipo di social engineering, a volte con l'aiuto dell'AI, per esempio tramite finte candidature o coding assignment manipolati. Anche l'FBI ha già messo in guardia sulla presenza di falsi lavoratori IT che hanno sottratto crypto tramite aziende americane.
Per il mercato crypto, il punto centrale è che attacchi di questo tipo non colpiscono solo exchange o wallet, ma anche la supply chain del software che lavora dietro le quinte. TRM Labs sostiene che gli ambienti di sviluppo siano ormai una delle vie più rapide per arrivare ai sistemi che autorizzano i prelievi. Per questo, lo screening di personale e contractor sta diventando una componente sempre più importante della sicurezza per le grandi piattaforme crypto.
Perché conta per l'Europa
Per gli utenti crypto europei, questo caso conta perché molti wallet e app si appoggiano a team di sviluppo internazionali e a contractor esterni. Se una realtà come Consensys può essere infiltrata, anche solo per un periodo limitato, significa che la security non riguarda soltanto wallet e chiavi, ma anche l'accesso al codice e ai processi di rilascio. In un mercato in cui la fiducia pesa molto sull'infrastruttura, questo può essere un campanello d'allarme importante anche per i fornitori europei.