كشفت تقارير استخباراتية من Google Threat Intelligence Group (GTIG) عن استخدام مجموعة تهديدات مرتبطة بكوريا الشمالية لتقنية EtherHiding بهدف توزيع برمجيات خبيثة وسرقة العملات الرقمية، في أول حالة موثقة تُظهر تبنّي جهة قرصنة مدعومة من دولة لهذه الطريقة المتقدمة.
حملة “المقابلة المعدية”: الهندسة الاجتماعية بوصف التمهيد
تنتمي هذه الأنشطة إلى حملة طويلة الأمد تُعرف باسم Contagious Interview، حيث يتقمص المهاجمون شخصيات مديري توظيف على منصة LinkedIn لاستدراج مطوري البرمجيات إلى محادثات لاحقة عبر Telegram أو Discord، بزعم إجراء تقييم وظيفي.
وبعد كسب الثقة، يُطلب من الضحية تنفيذ تعليمات برمجية خبيثة تؤدي إلى اختراق جهازه وسرقة بياناته الحساسة وأصوله المشفرة، في تكرارٍ لنهج كوريا الشمالية المزدوج القائم على التجسس السيبراني وتحقيق المكاسب المالية غير المشروعة.
EtherHiding: تحويل البلوكشين إلى خادم خفي لا يمكن إسقاطه
منذ فبراير 2025، رصدت Google المجموعة الكورية — التي تُعرف بأسماء متعددة منها UNC5342، CL-STA-0240، DeceptiveDevelopment، Famous Chollima، Gwisin Gang، Tenacious Pungsan، وVoid Dokkaebi — وهي تدمج تقنية EtherHiding ضمن بنيتها الهجومية.
وتقوم هذه التقنية بإخفاء الشيفرات الخبيثة داخل عقود ذكية على شبكات عامة مثل BNB Smart Chain أو Ethereum، مما يجعل البلوكشين نفسه بمثابة “خزان بيانات لا مركزي” يصعب حذفه أو تعطيله.
يُضاف إلى ذلك أن الطبيعة شبه المجهولة للبلوكشين تجعل من الصعب تتبع هوية من أنشأ العقد الذكي، كما تسمح التقنية للمهاجم بتحديث الحمولة الخبيثة في أي وقت مقابل رسوم رمزية (بمتوسط 1.37 دولار أمريكي في الغاز)، ما يتيح تعديل البرمجية بسهولة وإعادة تشغيل حملات جديدة دون الكشف عنها.
سلسلة عدوى متعددة المراحل تستهدف أنظمة مختلفة
تبدأ سلسلة العدوى بعد نجاح عملية الهندسة الاجتماعية، عبر مراحل متعاقبة تستهدف أنظمة Windows وmacOS وLinux باستخدام ثلاث عائلات برمجية رئيسية:
-
مُحمّل أولي في صورة حزمة npm خبيثة.
-
BeaverTail: أداة لسرقة المعلومات والبيانات الحساسة مثل محافظ العملات المشفرة وبيانات إضافات المتصفح وكلمات المرور.
-
JADESNOW: برنامج JavaScript يقوم بالتفاعل مع شبكة Ethereum لتنزيل حمولة خفية تُعرف باسم InvisibleFerret، وهي نسخة جافاسكربت من باب خلفي Pythonي استُخدم سابقًا لاستهداف كيانات ذات قيمة عالية.
ويحاول البرنامج الخبيث أيضًا تثبيت مترجم Python محمول لتنفيذ وحدة إضافية لسرقة بيانات الاعتماد مخزنة في عنوان Ethereum مختلف، في مؤشر على استخدام المهاجمين أكثر من شبكة بلوكشين واحدة لتوزيع المكونات الخبيثة بمرونة.
البلوكشين كسلاح سيبراني من الجيل الجديد
بحسب Google، يمثل EtherHiding نقلة نوعية في مفهوم “الاستضافة الحصينة” (Bulletproof Hosting)، إذ يُعاد توظيف خصائص البلوكشين التقنية – مثل اللامركزية وعدم القابلية للحذف – في خدمة الأغراض التخريبية.
ويرى خبراء الأمن أن لجوء جهات تهديد مدعومة من دول إلى هذه الأساليب يشير إلى تصعيد خطير في قدرات التجسس الإلكتروني، إذ يصبح من الممكن توزيع البرمجيات الخبيثة وتحديثها بسرعة وبصورة مقاومة لأي إغلاق أو تعقّب تقني.
