قراصنة كوريا الشمالية ينشرون برمجيات خبيثة عبر شركات عملات رقمية وهمية ومقابلات توظيف زائفة

قراصنة كوريا الشمالية ينشرون برمجيات خبيثة عبر شركات عملات رقمية وهمية ومقابلات توظيف زائفة
قراصنة كوريا الشمالية ينشرون برمجيات خبيثة عبر شركات عملات رقمية وهمية ومقابلات توظيف زائفة
شارك هذا الخبر

كشفت شركة Silent Push أن قراصنة مرتبطين بكوريا الشمالية يقفون خلف حملة هندسة اجتماعية تُعرف باسم “المقابلة المعدية” (Contagious Interview)، حيث أنشأوا شركات وهمية في مجال استشارات العملات الرقمية بهدف توزيع برمجيات خبيثة خلال عمليات توظيف مزيفة.

 الشركات الوهمية المستخدمة:

  • BlockNovas LLC (blocknovas[.]com)

  • Angeloper Agency (angeloper[.]com)

  • SoftGlide LLC (softglide[.]co)

تقوم هذه الكيانات الوهمية بإغراء الضحايا عبر مقابلات توظيف مزيّفة، ليقوموا لاحقًا بتنزيل برمجيات خبيثة تحت ذريعة مهام برمجية أو حل مشاكل متعلقة بالكاميرا أثناء التقييمات المرئية.

 البرمجيات الخبيثة المستخدمة:

تم رصد ثلاث عائلات برمجيات خبيثة في هذه الحملة:

  • BeaverTail: أداة تحميل خبيثة مكتوبة بـ JavaScript.

  • InvisibleFerret: باب خلفي مكتوب بلغة Python يدعم أنظمة Windows وLinux وmacOS.

  • OtterCookie: برمجية إضافية تُحمّل من نفس حزمة JavaScript المستخدمة مع BeaverTail.

تبدأ سلسلة العدوى بتنفيذ BeaverTail، والذي يتواصل مع خادم تحكم (C2) على النطاق lianxinxiao[.]com، لتوزيع InvisibleFerret لاحقًا، ومن ثم تثبيت برمجيات إضافية مثل AnyDesk وسرقة بيانات المتصفح والملفات الحساسة.

 منصات الاستهداف والتكتيكات:

اعتمد المهاجمون على إنشاء حسابات وهمية على شبكات مثل Facebook وLinkedIn وPinterest وGitHub وGitLab وغيرها، واستغلال منصات التوظيف لنشر الإعلانات الوظيفية المزيفة.

في إحدى الحوادث، تم استهداف مطور باستخدام مقابلة فيديو مزيفة وزُرع على جهازه برمجيات FROSTYFERRET وGolangGhost من خلال أسلوب يُعرف باسم ClickFix، الذي سبق أن وثّقته شركة Sekoia تحت مسمى ClickFake Interview.

ومن اللافت أن صفحة “من نحن” في موقع BlockNovas زعمت أن الشركة تعمل منذ أكثر من 12 عامًا، رغم أن السجلات تشير إلى تسجيلها منذ عام واحد فقط، كما أن العديد من السير الذاتية للموظفين الوهميين على الموقع تبدو مفبركة.

 بنية تحتية خبيثة متقدمة:

  • لوحة تحكم سرية تُدير عدة نطاقات ضارة.

  • نطاق فرعي mail.blocknovas[.]com يستضيف أداة Hashtopolis لاختراق كلمات المرور.

  • أحد المطورين أبلغ عن اختراق محفظته من نوع MetaMask في سبتمبر 2024.

  • أداة أخرى تُدعى Kryptoneer تُستخدم على نطاق attisscmo[.]com لربط محافظ العملات الرقمية مثل Suiet وSui وEthos.

 نشاطات عبر الحدود ودعم تقني متطور:

  • تم تحديد خمس عناوين IP روسية استخدمها المهاجمون مخفية خلف شبكات VPN وRDP.

  • تنتمي هذه العناوين إلى شركات في خاسان وخاباروفسك، وهما منطقتان على صلة وثيقة بكوريا الشمالية جغرافيًا واقتصاديًا.

  • تقنيات الذكاء الاصطناعي التوليدي (GenAI) تُستخدم لإنشاء صور ملفات شخصية مزيفة عبر أداة Remaker، وتنظيم المقابلات الوظيفية وحتى ترجمة المحادثات في الوقت الفعلي.

 حملة Wagemole: الوجه الآخر للعملية

بالتوازي مع حملة “المقابلة المعدية”، تستخدم كوريا الشمالية تكتيكًا يُعرف باسم Wagemole، يقوم على خلق هويات وهمية عبر الذكاء الاصطناعي لتوظيف مواطني كوريا الشمالية في شركات كبرى عن بُعد، بهدف:

  • سرقة البيانات الحساسة من داخل الشركات.

  • تحويل جزء من الرواتب الشهرية لدعم جمهورية كوريا الشعبية الديمقراطية (DPRK).

 إجراء قانوني:

في 23 أبريل 2025، استولت مكتب التحقيقات الفيدرالي الأمريكي (FBI) على نطاق BlockNovas، ضمن حملة لمكافحة التهديدات الإلكترونية المرتبطة بكوريا الشمالية.

توصيات أمنية:

  • توخي الحذر عند التقديم على وظائف في شركات غير معروفة بمجال العملات الرقمية.

  • عدم تحميل أي ملفات خلال المقابلات الوظيفية قبل التحقق من مصدرها.

  • استخدام برامج الحماية المتقدمة لمراقبة أنشطة النظام.

  • فحص المحافظ الرقمية بعد أي تفاعل مشبوه.

وسوم
محمد طاهر
محمد طاهر
المقالات: 234

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


انتهت فترة التحقق من reCAPTCHA. يُرجى إعادة تحميل الصفحة.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة