كوريا الشمالية تطلق هجومًا سيبرانيًا شرسًا يستهدف خبراء العملات الرقمية - برمجية خبيثة جديدة لسرقة البيانات المالية
في تطور مقلق للأمن السيبراني، كشفت تقارير حديثة عن حملة قرصنة جديدة تنفذها كوريا الشمالية تستهدف بشكل خاص العاملين في مجال العملات الرقمية.
الهجوم يستخدم برمجية خبيثة متطورة مصممة لسرقة المعلومات الحساسة ومفاتيح المحافظ الرقمية - تذكير صارخ بمخاطر الحرب السيبرانية في عصر التمويل اللامركزي.
الضحايا المحتملون: مطورو بلوكشين، متداولون، ورواد أعمال في مجال التشفير الذين قد يكونون أكثر انشغالًا بمراقبة أسعارهم من حماية أنظمتهم.
يأتي هذا الهجوم في وقت تشهد فيه الصناعة نموًا متسارعًا - فهل أصبحت الثروات الرقمية الجديدة هدفًا للدول المارقة كما هي للمستثمرين الطماعين؟
نموذج لموقع وظائف وهمية. المصدر: Cisco Talos
بعد ذلك، يتم خداع الضحايا لتمكين الوصول إلى الكاميرا والفيديو بحجة إجراء مقابلات، ثم يُطلب منهم نسخ أوامر وتنفيذها بدعوى تثبيت تعريفات فيديو محدثة، مما يؤدي إلى اختراق أجهزتهم.
الحمولة الخبيثة تستهدف المحافظ الرقمية
ذكرت Cisco Talos أن PylangGhost هو نسخة معدّلة من حصان طروادة GolangGhost المعروف سابقًا، ويشترك معه في العديد من الوظائف.
وعند تشغيل البرمجية، تُمكّن الأوامر المهاجمين من التحكم عن بعد في النظام المصاب وسرقة الكوكيز وبيانات تسجيل الدخول من أكثر من 80 إضافة للمتصفحات، بما في ذلك مديري كلمات المرور والمحافظ الرقمية مثل MetaMask، 1Password، NordPass، Phantom، Bitski، Initia، tronLink وMultiverseX.
تعليمات تنزيل الحمولة. المصدر: Cisco Talos
برمجية خبيثة متعددة المهام
يمكن للبرمجية تنفيذ مهام أخرى مثل التقاط لقطات شاشة، إدارة الملفات، سرقة بيانات المتصفح، جمع معلومات النظام، والحفاظ على الوصول عن بعد.
وأشار الباحثون إلى أنه من غير المحتمل أن يكون المهاجمون قد استخدموا نموذج لغة اصطناعية مثل الذكاء الاصطناعي للمساعدة في كتابة الكود، بناءً على التعليقات داخل الشيفرة.
حيل التوظيف المزيفة ليست جديدة
لم تكن هذه المرة الأولى التي يستخدم فيها قراصنة مرتبطون بكوريا الشمالية حيل الوظائف والمقابلات المزيفة للإيقاع بضحاياهم. ففي أبريل الماضي، استهدف قراصنة مرتبطون بعملية سرقة Bybit البالغة 1.4 مليار دولار مطوري العملات الرقمية من خلال اختبارات توظيف مزيفة ملوثة بالبرمجيات الخبيثة.
