قراصنة كوريون شماليون يستهدفون مطوري العملات الرقمية بعروض عمل زائفة

ادت تقارير بأن قراصنة كوريين شماليين، مرتبطين بثغرة Bybit التي بلغت قيمتها 1.4 مليار دولار، يستهدفون مطوري العملات الرقمية من خلال اختبارات توظيف وهمية مُحمّلة ببرمجيات خبيثة.
وذكر موقع “ذا هاكر نيوز” المتخصص في الأمن السيبراني أن مطوري العملات الرقمية تلقوا مهام برمجة من جهات خبيثة تنتحل صفة جهات توظيف. وبحسب ما ورد، استُخدمت تحديات البرمجة هذه لتوصيل برمجيات خبيثة إلى مطورين غافلين.

يتواصل القراصنة مع المطورين عبر LinkedIn، ويعرضون عليهم فرص عمل وهمية. وبمجرد إقناع الضحية، يرسل القراصنة مستندًا خبيثًا يحتوي على تفاصيل تحدٍ برمجي على GitHub، وعند فتحه، تُثبّت برمجية خبيثة قادرة على اختراق نظام الضحية.
يُقال إن هذه العملية الاحتيالية تُدار من قِبل مجموعة قرصنة كورية شمالية تُعرف باسم Slow Pisces، والمعروفة أيضًا بأسماء Jade Sleet وPukchong وTraderTraitor وUNC4899.

وفي تصريح لموقع كوينتيليغراف، أوضح هاكان أونال، كبير مسؤولي مركز عمليات الأمن في شركة Cyvers، أن القراصنة غالبًا ما يسعون لسرقة بيانات اعتماد المطورين ورموز الوصول. وأضاف أن أهدافهم تشمل تكوينات السحابة، ومفاتيح SSH، وسلسلة مفاتيح iCloud، وبيانات تعريف النظام والتطبيقات، والوصول إلى المحافظ الرقمية.
من جهته، صرّح لويس لوبيك، مدير مشروع الخدمة في شركة الأمن السيبراني هاكن، لموقع كوينتيليغراف أن القراصنة يحاولون أيضًا الوصول إلى مفاتيح واجهة برمجة التطبيقات (API Keys) أو البنية التحتية للإنتاج.

وأشار لوبيك إلى أن LinkedIn تُعد المنصة الرئيسية التي يعتمد عليها القراصنة، لكنهم يستخدمون أيضًا منصات العمل الحر مثل Upwork وFiverr.
وأضاف: “ينتحل القراصنة صفة عملاء أو مديري توظيف، ويعرضون عقودًا أو اختبارات مدفوعة الأجر، لا سيما في مجالات التمويل اللامركزي أو الأمن السيبراني، مما يبدو موثوقًا للمطورين”.
وصرح هاياتو شيجيكاوا، كبير مهندسي الحلول في شركة Chainalysis، بأن القراصنة غالبًا ما ينشئون ملفات تعريف مزيفة تبدو موثوقة على مواقع التواصل المهني، ويطابقونها مع سير ذاتية تتماشى مع وظائفهم الاحتيالية.
وأوضح شيجيكاوا أن الهدف النهائي هو الوصول إلى الشركة التي يعمل بها المطور المستهدف، ومن ثم تحديد واستغلال نقاط الضعف داخلها.

من جانبه، أشار يهور روديتسيا، باحث أمن شبكات البلوكتشين في شركة هاكن، إلى أن المهاجمين أصبحوا أكثر إبداعًا، إذ يقلدون المتداولين السيئين لغسل الأموال، ويستخدمون ناقلات هجوم نفسية وتقنية لاستغلال الثغرات الأمنية.
وقال روديتسيا لموقع كوينتيليغراف: “لهذا السبب، أصبح تثقيف المطورين والحفاظ على النظافة التشغيلية أمرين مهمين بقدر أهمية تدقيق الكود البرمجي أو حماية العقود الذكية”.
وأضاف هاكان أونال أن بعض أفضل الممارسات التي ينبغي للمطورين اتباعها لتجنب الوقوع ضحية لمثل هذه الهجمات تشمل: استخدام الآلات الافتراضية وصناديق الرمل للاختبار، التحقق المستقل من عروض العمل، وعدم تشغيل أكواد مجهولة المصدر.