قراصنة كوريا الشمالية يستهدفون شركات العملات الرقمية الكبرى ببرمجيات خبيثة مخبأة في طلبات التوظيف

كشف باحثون في شركة "سيسكو تالوس" هذا الأسبوع أن مجموعة قرصنة كورية شمالية تستهدف العاملين في مجال العملات الرقمية ببرمجية خبيثة مكتوبة بلغة بايثون، مُخبأة ضمن عملية توظيف وهمية.

تظهر البيانات المفتوحة أن معظم الضحايا موجودون في الهند، ويبدو أنهم أفراد لديهم خبرة سابقة في شركات البلوكشين والعملات الرقمية.

رغم عدم وجود أدلة على اختراق داخلي وفقًا لتقرير سيسكو، فإن الخطر الأوسع واضح: محاولة هذه الجهات الوصول إلى الشركات التي قد ينضم إليها هؤلاء الأفراد لاحقًا.

تُعرف البرمجية الخبيثة باسم "PylangGhost"، وهي نسخة جديدة من حصان طروادة "GolangGhost" المسجل سابقًا، وتتشارك معظم الميزات نفسها - لكنها مُكتوبة بلغة بايثون لاستهداف أنظمة ويندوز بشكل أفضل.

لا يزال مستخدمو أجهزة ماك يتأثرون بنسخة "Golang"، بينما تبدو أنظمة لينكس غير متأثرة. يُعتقد أن الجهة الفاعلة خلف هذه الحملة، المعروفة باسم "فاموس تشولليما"، تعمل منذ منتصف عام 2024 وتنتمي إلى كوريا الشمالية.

طريقة الهجوم الأخيرة بسيطة: انتحال هوية شركات عملات رقمية كبرى مثل "كوينبيز" و"روبنهود" و"يوني سواب" عبر مواقع توظيف وهمية عالية الجودة، لجذب مهندسي البرمجيات ومسوقين ومصممين لإجراء "اختبارات مهارات" مُعدة مسبقًا.

بعد ملء الضحية للمعلومات الأساسية والإجابة على الأسئلة التقنية، يتم تحفيزها لتثبيت برامج تشغيل فيديو وهمية عبر لصق أمر في الطرفية، مما يؤدي إلى تنزيل وتشغيل حصان الطروادة المكتوب بلغة بايثون.

يتم إخفاء الحمولة في ملف ZIP يحتوي على مترجم بايثون مُعاد تسميته (nvidia.py)، ونص فيجوال بيسك لفتح الأرشيف، وست وحدات أساسية مسؤولة عن الثبات وبصمات النظام ونقل الملفات والوصول إلى الطرفية عن بُعد وسرقة بيانات المتصفح.

يسرق حصان الطروادة بيانات تسجيل الدخول وملفات تعريف الارتباط الجلسية ومعلومات المحافظ من أكثر من 80 إضافة، بما في ذلك "ميتاماسك" و"فانتوم" و"ترون لينك" و"1 باسوورد".

تسمح مجموعة الأوامر بالتحكم الكامل في الأجهزة المصابة عن بُعد، بما في ذلك تحميل الملفات وتنزيلها واستكشاف النظام وإطلاق طرفية - كل ذلك يتم عبر حزم HTTP مشفرة بـ RC4.

حزم HTTP المشفرة بـ RC4 هي بيانات تُرسل عبر الإنترنت مُشفرة بطريقة قديمة تسمى RC4. رغم أن الاتصال نفسه غير آمن (HTTP)، فإن البيانات داخله مشفرة، لكن ليس بشكل جيد، نظرًا لأن RC4 قديم ويمكن كسره بسهولة وفقًا للمعايير الحالية.

رغم إعادة كتابتها، فإن بنية وتسميات "PylangGhost" تُطابق تقريبًا تلك الخاصة بـ "GolangGhost"، مما يشير إلى أن كليهما من تأليف نفس الجهة، وفقًا لسيسكو.

ترجمة: QuantF0x