قراصنة كوريون شماليون يستهدفون الباحثين عن عمل في مجال العملات المشفرة ببرامج خبيثة

استهدف قراصنة كوريون شماليون، يُعرفون باسم "فيموس تشوليما"، خبراء العملات الرقمية بمقابلات عمل وهمية تهدف إلى سرقة بياناتهم ونشر برامج خبيثة على أجهزتهم. وقد سرقت هذه البرامج بياناتdentأكثر من 80 إضافة للمتصفح، بما في ذلك برامج إدارة كلمات المرور ومحافظ العملات الرقمية مثل ميتا ماسك، و1 باسورد، ونورد باس، وفانتوم، وبيتسكي، وإنيشيا، Tronلينك، ومولتيفيرس إكس.

يوم الأربعاء، أفادت " أن شركة "فيموس تشوليما" انتحلت صفة شركات شرعية ووجهت ضحايا غير مشتبه بهم إلى مواقع إلكترونية لاختبار المهارات حيث أدخل الضحايا بياناتهم الشخصية وأجابوا على أسئلة فنية.

قامت مواقع اختبار المهارات بتقليد شركات حقيقية مثل Coinbaseو Archblock و Robinhood و Parallel Studios و Uniswap وغيرها، مما ساعد في استهدافها. 

استنادًا إلى معلومات من مصادر مفتوحة، لم يتأثر سوى عدد قليل من المستخدمين، معظمهم في الهند. وقد نصح ديليب كومار إتش في، مدير مؤسسة "ديجيتال ساوث بليف"، بضرورة إلزام الهند شركات تقنية البلوك تشين بإجراء عمليات تدقيق للأمن السيبراني، ومراقبة مواقع التوظيف الوهمية، وذلك لمواجهة هذه الاحتيالات. كما دعا إلىtronالتنسيق العالمي في مجال مكافحة الجرائم الإلكترونية العابرة للحدود، ونشر الوعي الرقمي.

تتابع شركة تالوس عملية الاحتيال وتؤكد وجود صلة بكوريا الشمالية

🚨 تنبيه: لا توجد معلومات عن أوراكل أو باكينجهامشيرز. 𝘄𝗶𝘁𝗵 𝗻𝗲𝘄 𝗶𝗻𝗳𝗼-𝘀𝘁𝗲𝗮𝗹𝗶𝗻𝗴 𝗺𝗮𝗹𝘄𝗮𝗿𝗲

𝗗𝗶𝘀𝗴𝘂𝗶𝘀𝗲𝗱 𝗮𝘀 𝗳𝗮𝗸𝗲 𝗰𝗿𝘆𝗽𝘁𝗼 𝗷𝗼𝗯 𝘀𝗶𝘁𝗲𝘀 — 𝗯𝗲 𝗰𝗮𝗿𝗲𝗳𝘂𝗹… pic.twitter.com/wt4pe5o1Zg

— مايانك دوديجيا || سبايونغ إيمز (@imcryptofreak) ٢٠ يونيو ٢٠٢٥

زعمت شركة أبحاث الأمن السيبراني Cisco Talos أن حصان طروادة الجديد للوصول عن بعد القائم على لغة بايثون والذي يسمى "PylangGhost" يربط البرامج الضارة بمجموعة قرصنة تابعة لكوريا الشمالية تسمى "Famous Chollima"، والمعروفة أيضًا باسم "Wagemole"

كشفت الشركة أيضًا أن برمجية PylangGhost الخبيثة تُعادل وظيفيًا برمجية GolangGhost RAT الموثقة سابقًا، إذ تشترك معها في العديد من القدرات. استخدم Famous Chollima النسخة المبنية على لغة بايثون لاستهداف أنظمة ويندوز، بينما استهدفت نسخة Golang مستخدمي نظام macOS. واستُثنيت أنظمة لينكس من هذه الهجمات الأخيرة.

بحسب شركة تالوس، فإن مجموعة التهديد هذه نشطة منذ عام 2024 عبر عدة حملات موثقة جيدًا. تضمنت هذه الحملات استخدام نسخ معدلة من برنامج "المقابلة المعدية" (المعروف أيضًا باسم "التطوير الخادع") وإنشاء إعلانات وظائف وهمية وصفحات اختبار مهارات مزيفة. وتم توجيه المستخدمين لنسخ ولصق سطر أوامر خبيث (ClickFix) لتثبيت برامج التشغيل اللازمة لإجراء المرحلة النهائية من اختبار المهارات.  

في أحدث عملية احتيال تم الكشف عنها في مايو، طُلب من المشاركين تفعيل الوصول إلى الكاميرا لإجراء مقابلة فيديو، وحُثّوا على نسخ وتنفيذ أوامر خبيثة مُقنّعة على هيئة برامج تشغيل الفيديو. وبذلك، انتهى بهم الأمر باستخدام برنامج PylangGhost الخبيث على أجهزتهم. بدأ التنفيذ بملف "nvidia.py"، الذي نفّذ عدة مهام: أنشأ قيمة في سجل النظام لتشغيل برنامج التحكم عن بُعد (RAT) في كل مرة يسجل فيها المستخدم دخوله إلى النظام، وأنشأ مُعرّفًا فريدًا عالميًا (GUID) للنظام لاستخدامه في التواصل مع خادم القيادة والتحكم (C2)، ثم اتصل بخادم C2، ودخل في حلقة الأوامر للتواصل معه.

وفقًا لشركة Cisco Talos، "تختلف تعليمات تنزيل الإصلاح المزعوم بناءً على بصمة المتصفح، كما يتم تقديمها بلغة shell المناسبة لنظام التشغيل: PowerShell أو Command Shell لنظام التشغيل Windows، وBash لنظام التشغيل MacOS"

لاحظ تالوس أنه بالإضافة إلى سرقة الأموال مباشرةً من منصات التداول، ركّز قراصنة "فيموس تشوليما" مؤخرًا على المتخصصين في مجال العملات الرقمية لجمع المعلومات وربما التسلل إلى شركات العملات الرقمية من الداخل. وفي وقت سابق من هذا العام، قراصنة كوريون شماليون شركتين أمريكيتين وهميتين، هما "بلوك نوفاس" و"سوفت غلايد"، لتوزيع برامج ضارة من خلال مقابلات عمل احتيالية قبل أن يصادر مكتب التحقيقات الفيدرالي نطاق "بلوك نوفاس".

تبرز كوريا الشمالية كمركز لعمليات القرصنة سيئة السمعة

في ديسمبر 2024، بدأت عملية اختراق شركة راديانت كابيتال، التي بلغت خسائرها 50 مليون دولار، عندما انتحل عناصر من كوريا الشمالية صفة مقاولين سابقينtracملفات PDF محملة ببرمجيات خبيثة إلى مهندسين. وقد شارك المنتحلون ملفًا مضغوطًا تحت ستار طلب آراء حول مشروع جديد كانوا يعملون عليه.

أكد بيان مشترك صادر عن اليابان وكوريا الجنوبية والولايات المتحدة أن جماعات مدعومة من كوريا الشمالية، بما في ذلك جماعة لازاروس، سرقت ما لا يقل عن 659 مليون دولار من خلال عمليات سرقة متعددة للعملات المشفرة في عام 2024. وأشار المبعوثون إلى أن العمال الكوريين الشماليين في الخارج، بمن فيهم متخصصو تكنولوجيا المعلومات المنخرطون في "أنشطة إلكترونية خبيثة"، كانوا عاملاً رئيسياً في قدرة النظام على تمويل برامج أسلحته من خلال سرقة وغسل الأموال، بما في ذلك العملات المشفرة.

في شركة Chainalysis، أن قراصنة مرتبطين بكوريا الشمالية كانوا الأكثر نشاطًا في مجال اختراق العملات الرقمية خلال السنوات القليلة الماضية. ففي عام 2022، حطموا أرقامهم القياسية في السرقة، حيث سرقوا ما يُقدّر بـ 1.7 مليار دولار من العملات الرقمية عبر عدة عمليات اختراق، مقارنةً بـ 428.8 مليون دولار في عام 2021.

مع ذلك، كشفت منصة تداول العملات الرقمية "كراكن" في مايو/أيار أنها نجحت فيdentهوية عميل كوري شمالي كان قد تقدم لوظيفة في مجال تكنولوجيا المعلومات، وإحباط مخططاته. وقد تمكنت "كراكن" من كشف هوية المتقدم عندما فشل فيdentاختبارات التحقق من الهوية الأساسية خلال المقابلات.