قراصنة كوريا الشمالية يستهدفون كبرى شركات العملات الرقمية ببرمجيات خبيثة مخبأة في طلبات التوظيف

كشفت أبحاث شركة سيسكو تالوس هذا الأسبوع أن مجموعة قرصنة كورية شمالية تستهدف العاملين في مجال العملات الرقمية ببرمجيات خبيثة مكتوبة بلغة بايثون، مُخبأة ضمن عملية توظيف وهمية.

تشير البيانات المفتوحة إلى أن معظم الضحايا موجودون في الهند، ويبدو أنهم أفراد لديهم خبرة سابقة في شركات بلوك تشين والعملات المشفرة.

ورغم عدم وجود أدلة على اختراق داخلي وفقًا لسيسكو، فإن الخطر الأوسع واضح: محاولة هذه الجهات الوصول إلى الشركات التي قد ينضم إليها هؤلاء الأفراد لاحقًا.

تُعرف البرمجية الخبيثة باسم PylangGhost، وهي نسخة جديدة من حصان طروادة GolangGhost الذي تم توثيقه سابقًا، وتتشارك معظم الميزات نفسها - لكنها مُعاد كتابتها بلغة بايثون لاستهداف أنظمة ويندوز بشكل أفضل.

لا يزال مستخدمو أجهزة ماك يتأثرون بنسخة Golang، بينما تظل أنظمة لينكس غير متأثرة. يُعتقد أن الجهة الفاعلة الخبيثة وراء هذه الحملة، المعروفة باسم Famous Chollima، تعمل منذ منتصف 2024 ومرتبطة بكوريا الشمالية.

طريقة الهجوم الأخيرة بسيطة: انتحال هوية شركات عملات رقمية كبرى مثل Coinbase وRobinhood وUniswap عبر مواقع توظيف وهمية عالية الجودة، لجذب مهندسي البرمجيات ومسوقين ومصممين لإجراء "اختبارات مهارات" مُعدة مسبقًا.

بعد ملء الضحية للمعلومات الأساسية والإجابة على أسئلة تقنية، يتم تحفيزها على تثبيت برامج تشغيل فيديو مزيفة عبر لصق أمر في الطرفية، مما يؤدي إلى تنزيل وتشغيل حصان الطروادة PylangGhost خلسةً.

يتم إخفاء الحمولة الخبيثة في ملف ZIP يحتوي على مترجم بايثون مُعاد تسميته (nvidia.py)، ونص فيجوال بيسك لفتح الأرشيف، وست وحدات أساسية مسؤولة عن الثبات وبصمات النظام ونقل الملفات والوصول عن بُعد وسرقة بيانات المتصفح.

يسرق حصان الطروادة بيانات الاعتماد وملفات تعريف الارتباط وبيانات المحافظ من أكثر من 80 إضافة، بما في ذلك MetaMask وPhantom وtronLink و1Password.

تتيح مجموعة الأوامر التحكم الكامل عن بُعد في الأجهزة المصابة، بما في ذلك تحميل الملفات وتنزيلها واستكشاف النظام وإطلاق الطرفية - كل ذلك عبر حزم HTTP مشفرة بـ RC4.

حزم HTTP المشفرة بـ RC4 هي بيانات تُرسل عبر الإنترنت مع تشفيرها باستخدام خوارزمية RC4 القديمة. رغم أن الاتصال نفسه غير آمن (HTTP)، فإن البيانات داخله مشفرة - لكن ليس بشكل جيد، نظرًا لأن RC4 قديم ويمكن كسره بسهولة وفقًا للمعايير الحالية.

رغم إعادة الكتابة، فإن بنية PylangGhost وأساليب التسمية تطابق تقريبًا تلك الخاصة بـ GolangGhost، مما يشير إلى أن كليهما من تأليف نفس الجهة، وفقًا لسيسكو.

ترجمة: QuantF0x