يستخدم قراصنة كوريون شماليون حاليًا أسلوبًا قائمًا على تقنية البلوك تشين يُعرف باسم "إيثر هايدينغ" لإيصال برامج خبيثة لتسهيل عمليات سرقة العملات الرقمية. ووفقًا للخبراء، تم اكتشاف قرصان كوري شمالي يستخدم هذا الأسلوب، حيث يقوم المهاجمون بتضمين أكواد مثل حمولات جافا سكريبت داخلtracذكي قائم على تقنية البلوك تشين.
باستخدام هذه الطريقة، يحوّل المخترقون سجل المعاملات اللامركزي إلى نظام قيادة وتحكم متين. ووفقًا لمقال نُشر على مدونة مجموعة جوجل لاستخبارات التهديدات (GTIG)، فهذه هي المرة الأولى التي ترصد فيها المجموعة جهة فاعلة بهذا الحجم تستخدم هذه الطريقة. وأشارت المجموعة إلى أن استخدام EtherHiding يُعدّ حلاً مناسبًا في مواجهة جهود الإيقاف التقليدية وحظر المواقع. وذكرت المجموعة أنها tracالجهة الفاعلة UNC5342 منذ فبراير 2025، والتي تدمج EtherHiding في حملة هندسة اجتماعية مستمرة.
يلجأ قراصنة الإنترنت الكوريون الشماليون إلى إيثرهايدينغ
جوجل أشارت إلى أنها ربطت استخدام برنامج EtherHiding الخبيث بحملة هندسة اجتماعية tracشركة Palo Alto Networks تحت اسم Contagious Interview. وقد نُفذت هذه الحملة من قبل جهات كورية شمالية. ووفقًا لباحثي Socket، وسّعت المجموعة نطاق عملياتها باستخدام برنامج تحميل برمجيات خبيثة جديد يُدعى XORIndex. وقد حصد هذا البرنامج آلاف التنزيلات، مستهدفًا الباحثين عن عمل والأفراد الذين يُعتقد أنهم يمتلكون أصولًا رقمية أو بيانات اعتمادdent.
كوريون شماليون قراصنة برمجية JADESNOW الخبيثة لنشر نسخة جافا سكريبت من برمجية INVISIBLEFERRET الخبيثة، والتي استُخدمت في العديد من عمليات سرقة العملات المشفرة. تستهدف الحملة مطوري البرامج في قطاعي العملات المشفرة والتكنولوجيا، حيث تسرق بيانات حساسة وأصولًا رقمية، وتتمكن من الوصول إلى شبكات الشركات. كما تتمحور حول أسلوب الهندسة الاجتماعية الذي يقلد عمليات التوظيف المشروعة باستخدام جهات توظيف وهمية وشركات مُختلقة.
تُستخدم جهات توظيف وهمية لاستدراج المرشحين إلى منصات مثل تيليجرام أو ديسكورد. بعد ذلك، يتم تثبيت البرامج الضارة على أجهزتهم عبر اختبارات برمجة وهمية أو تنزيلات برامج مُقنّعة على أنها تقييمات فنية أو حلول لمشاكل المقابلات. تعتمد هذه الحملة على عملية إصابة متعددة المراحل بالبرامج الضارة، والتي تتضمن عادةً برامج مثل JADESNOW وINVISIBLEFERRET وBEAVERTAIL، لاختراق أجهزة الضحايا. وتؤثر هذه البرامج الضارة على أنظمة ويندوز ولينكس وماك أو إس.
يشرح الباحثون بالتفصيل سلبيات تقنية إخفاء الإيثر
يُتيح نظام EtherHiding للمهاجمين ميزةً كبيرة، حيث أشارت GTIG إلى أنه يُمثل تهديدًا بالغ الصعوبة في مواجهته. ومن أبرز جوانب EtherHiding المثيرة للقلق طبيعته اللامركزية. وهذا يعني أنه مُخزّن على سلسلة كتل مفتوحة المصدر ولا مركزية، مما يُصعّب على جهات إنفاذ القانون أو شركات الأمن السيبراني إيقافه لعدم وجود خادم مركزي.denttractrac tractractractrac tractracنظرًا لطبيعة سلسلة الكتل .
يصعب أيضًا إزالة الشيفرة الخبيثة منtracالذكية المنشورة على سلسلة الكتل (البلوك تشين) إذا لم تكن مالكtrac. كما يمكن للمهاجم المتحكمtracالذكي، وهم في هذه الحالة قراصنة كوريا الشمالية، تحديث الشيفرة الخبيثة في أي وقت. ورغم محاولة باحثي الأمن تحذير المجتمع من وجودtracخبيث عبر وسمه، إلا أن ذلك لا يمنع القراصنة من تنفيذ أنشطتهم الخبيثة باستخدام هذاtrac.
بالإضافة إلى ذلك، يستطيع المهاجمون استخراج حمولاتهم الخبيثة باستخدام عمليات قراءة فقط لا تترك سجلاً مرئياً للمعاملات على سلسلة الكتل، مما يصعّب على الباحثين tracأنشطتهم عليها. ووفقاً لتقرير أبحاث التهديدات، يُمثّل EtherHiding "تحولاً نحو جيل جديد من الاستضافة الآمنة تماماً"، حيث يستغل المحتالون أبرز ميزات تقنية سلسلة الكتل لأغراض خبيثة.
