أفضل المعلومات حول العملات الرقمية تصلك مباشرة إلى بريدك الإلكتروني.
استهدف قراصنة كوريون شماليون أكثر من 3100 عنوان IP مرتبط بالذكاء الاصطناعي والعملات المشفرة والتمويل باستخدام مقابلات عمل وهمية
- قال باحثون أمنيون إن قراصنة مرتبطين بكوريا الشمالية استهدفوا أكثر من 3100 عنوان IP مرتبط بشركات الذكاء الاصطناعي والعملات المشفرة والتمويل باستخدام مقابلات عمل مزيفة.
- اعتمدت الحملة، tracتتبعها باسم PurpleBravo، على مستودعات GitHub الخبيثة، وموظفي التوظيف المحتالين، وأدوات المطورين لاختراق أنظمة الشركات في جميع أنحاء العالم.
- وجد الباحثون أساليب برمجية خبيثة متطورة، بما في ذلك الأبواب الخلفية لبرنامج VS Code وبرامجdentلسرقة بيانات الاعتماد، والتي تستخدم لتوسيع نطاق الوصول عبر مناطق متعددة.
بعد أن اختلسوا أكثر من ملياري دولار من سوق العملات المشفرة في عام 2025، عاد قراصنة كوريون شماليون بحملة توظيف وهمية نفذتها مجموعة تُعرف باسم PurpleBravo.
وقد شن قراصنة مرتبطون بكوريا الشمالية عملية تجسس إلكتروني على أكثر من 3100 عنوان إنترنت مرتبط بشركات في مجالات الذكاء الاصطناعي والعملات المشفرة والخدمات المالية، وذلك وفقًا لنتائج استخبارات التهديدات الجديدة التي توصلت إليها مجموعة "إنسيكت" التابعة لشركة "ريكوردد فيوتشر".
تم رصد استخدام شركة PurpleBravo لعمليات توظيف احتيالية وأدوات تطوير برمجية مُدمجة ببرمجيات خبيثة. ووفقًا لتقييم مجموعة Insikt، تمdent20 منظمة ضحية حتى الآن من جنوب آسيا وأمريكا الشمالية وأوروبا والشرق الأوسط وأمريكا الوسطى.
كوريا الشمالية تطلق حملة برمجيات خبيثة لتصوير مقابلات توظيف وهمية
كما أوضحت مجموعة إنسيكت، تتضمن حملة "المقابلة المعدية" جهات خبيثة تنتحل صفة موظفي توظيف أو مطورين، وتتواصل مع الباحثين عن عمل عبر إجراء مقابلات تقنية. وأشار محللو الأمن إلى استهداف ما لا يقل عن 3136 عنوان IP فردي خلال فترة المراقبة.
قدم المهاجمون أنفسهم كممثلين لشركات العملات المشفرة والتكنولوجيا، وطلبوا من المرشحين مراجعة التعليمات البرمجية، أو استنساخ المستودعات، أو إكمال مهام البرمجة.
وكتبت شركة استخبارات التهديدات في تقريرها: "في العديد من الحالات، من المحتمل أن يكون المرشحون الباحثون عن عمل قد قاموا بتنفيذ برامج ضارة على أجهزة الشركات، مما أدى إلى تعريض المؤسسة للخطر بما يتجاوز الهدف الفردي".
للعملية عدة أسماء مستعارة في كل من المعلومات الخاصة والمفتوحة المصدر حول قراصنة كوريا الشمالية، بما في ذلك CL-STA-0240 وDeceptiveDevelopment وDEV#POPPER وFamous Chollima وGwisin Gang وTenacious Pungsan وUNC5342 وVoid Dokkaebi وWaterPlum.
كما ذكرت مجموعة الأمن السيبراني أن المتسللين استخدموا شبكة Astrill VPN ونطاقات عناوين IP لإدارة خوادم التحكم والسيطرة الموجودة في الصين. وفي الوقت نفسه، استضاف 17 مزود خدمة برمجيات خبيثة مثل BeaverTail وGolangGhost على خوادمهم.
استدراج الضحايا بشخصيات وهمية، وحسابات على منصة GitHub، وقصص غطاء أوكرانية
رصدت مجموعة Insikt أربعة شخصيات على الإنترنت مرتبطة بـ PurpleBravo، وذلك في أعقاب تحقيق في GitHub ، والثرثرة على وسائل التواصل الاجتماعي حول عمليات الاحتيال بالعملات المشفرة، وخدمة استخبارات شبكة القرصنة.
بحسب التقرير، دأبت هذه الحسابات على تقديم نفسها على أنها مقرها في أوديسا، أوكرانيا، بينما كانت تستهدف الباحثين عن عمل من جنوب آسيا. وأفادت هيئة التحقيق في الجرائم الإلكترونية (Insikt) أنها لم تتمكن من تحديد سبب استخدامdentالأوكرانية في هذه الحيلة.
في إحدى البرامج المزيفة، استخدم المخترقون موقعًا إلكترونيًا يُعلن عن عملة رقمية مرتبطة بعلامة تجارية للأغذية. مع ذلك، لم يتمكن الباحثون من إثبات وجود صلة بين العملة والشركة المذكورة. وتنتشر في قناة تيليجرام الرسمية للمشروع عمليات احتيال، وبرامج آلية، وروابط خبيثة.
علاوة على ذلك، تضمنت العملية أيضاً اثنين من برامج التجسس الخبيثة ذات الصلة بالوصول عن بُعد، وهما PylangGhost وGolangGhost. وتُعدّ هذه البرامج الخبيثة أدوات متعددة المنصات تتشارك في أوامرdentوتُؤتمت عملية سرقة بياناتdentالمتصفح وملفات تعريف الارتباط.
يتوافق GolangGhost مع العديد من أنظمة التشغيل، لكن PylangGhost يعمل فقط على أنظمة Windows ويمكنه تجاوز حماية بياناتdentالمرتبطة بالتطبيق في Chrome للإصدار 127 والإصدارات الأحدث.
رصدت مجموعة إنسيكت قنوات على تطبيق تيليجرام تُعلن عن بيع حسابات على منصتي لينكدإن وأبوورك، حيث يستخدم البائعون خدمات بروكسي مثل proxy-seller[.]com وpowervps[.]net وdentialvps[.]com وlunaproxy[.]com وsms-activate[.]io، بالإضافة إلى خوادم افتراضية خاصة لإخفاء مواقعهم. كما رُصدت القناة وهي تتفاعل مع منصة تداول العملات الرقمية MEXC Exchange.
ثغرات أمنية في VS Code على Microsoft Visual Studio
أفادت مختبرات جامف للتهديدات يوم الاثنين بأن جهات مرتبطة بكوريا الشمالية طورت نسخة مُعدّلة من برنامج مايكروسوفت فيجوال ستوديو كود، قادرة على إيجاد ثغرات أمنية في الأنظمة. وأوضح محللو الأمن أن هذه التقنيةdentلأول مرة في ديسمبر 2025، وجرى تحسينها منذ ذلك الحين.
بحسب الباحث الأمني في شركة Jamf، ثيجس زهافلير، يستطيع المهاجمون زرع برمجيات خبيثة تمنحهم صلاحية تنفيذ التعليمات البرمجية عن بُعد على الأجهزة. تبدأ سلسلة العدوى عندما يقوم الهدف باستنساخ مستودع Git خبيث وفتحه في برنامج VS Code.
كتب ثيس زهافلير: "عند فتح المشروع، يطلب برنامج Visual Studio Code من المستخدم الوثوق بمؤلف المستودع. إذا تم منح هذه الثقة، يقوم التطبيق تلقائيًاmaticتكوين tasks.json الخاص بالمستودع، مما قد يؤدي إلى تنفيذ أوامر عشوائية مضمنة على النظام" بمعالجة.
لا تكتفِ بقراءة أخبار العملات الرقمية، بل افهمها. اشترك في نشرتنا الإخبارية، إنها مجانية.
إخلاء مسؤولية: المعلومات الواردة هنا ليست نصيحة استثمارية. Cryptopolitanموقع أي مسؤولية عن أي استثمارات تتم بناءً على المعلومات الواردة في هذه الصفحة. ننصحtronبإجراء بحث مستقلdent /أو استشارة مختص مؤهل قبل اتخاذ أي قرارات استثمارية.
فلورنس موتشاي
تُغطي فلورنس أخبار العملات الرقمية، والألعاب، والتكنولوجيا، والذكاء الاصطناعي منذ ست سنوات. وقد زودتها دراستها لعلوم الحاسوب في جامعة ميرو للعلوم والتكنولوجيا، بالإضافة إلى دراستها لإدارة الكوارث والدبلوماسية الدولية في الجامعة نفسها، بمهارات لغوية وملاحظة وتقنية عالية. عملت فلورنس في مجموعة VAP، كما عملت كمحررة في العديد من المؤسسات الإعلامية المتخصصة في العملات الرقمية.
- أي العملات المشفرة يمكن أن تدر عليك المال
- كيفية تعزيز أمانك باستخدام المحفظة الإلكترونية (وأي منها يستحق الاستخدام فعلاً)
- استراتيجيات استثمارية غير معروفة يستخدمها المحترفون
- كيفية البدء في الاستثمار في العملات المشفرة (أي منصات التداول التي يجب استخدامها، وأفضل العملات المشفرة للشراء، إلخ)