هكذا يهاجم قراصنة كوريا الشمالية وراء عملية سرقة 1.4 مليار دولار من Bybit مطوري العملات المشفرة

Written by

Translated by

Written on Apr 17, 2025

Reading time 1 minutes

تستخدم المجموعة المعروفة باسم Slow Pisces موقع LinkedIn لإغراء المطورين لتشغيل مشاريع مليئة بأحصنة طروادة.
يتم تنشيط البرامج الضارة فقط في ظل ظروف محددة، مما يتجنب اكتشافها.
يستخدم المهاجمون YAML وJavaScript لإخفاء التعليمات البرمجية الضارة.

تستهدف مجموعة قرصنة كورية شمالية مطوري العملات المشفرة من خلال عملية احتيال جديدة لتوظيف الموظفين والتي تقوم بحقن برمجيات خبيثة لسرقة المعلومات في نظام الضحية.

وبحسب تقرير صدر مؤخرا عن وحدة 42 التابعة لشركة الأمن السيبراني Palo Alto Networks، فإن مجموعة القرصنة الشريرة، المعروفة بأسماء مستعارة مثل Slow Pisces، وJade Sleet، وPUKCHONG، وTraderTraitor، أو UNC4899، كانت تتظاهر بأنها جهات توظيف على LinkedIn.

بمجرد إجراء الاتصال، يتم إغراء المطورين بعروض عمل وهمية، يتبعها اختبار برمجة روتيني على ما يبدو.

لكن داخل هذه المشاريع المستضافة على GitHub توجد مجموعة أدوات خبيثة لسرقة البيانات تصيب جهاز الضحية بهدوء.

في البداية، يُطلب من المرشحين تشغيل ملف يبدو عادةً كمهمة برمجة بسيطة، ولكن بمجرد تنفيذه على نظام الضحية، فإنه يقوم بتشغيل برنامج ضار يسمى RN Loader والذي يرسل معلومات النظام مرة أخرى إلى المهاجم.

إذا تم التحقق من صحة الهدف، يتم نشر الحمولة في المرحلة الثانية، RN Stealer، والتي يمكنها جمع كل شيء من مفاتيح SSH وبيانات iCloud إلى ملفات تكوين Kubernetes وAWS.

وما يجعل هذه الحملة خطيرة بشكل خاص هو طبيعتها الخفية، حيث يتم تنشيط البرامج الضارة فقط في ظل ظروف معينة، مثل عنوان IP أو إعدادات النظام، مما يجعل من الصعب على الباحثين اكتشافها.

كما أنه يعمل بالكامل في الذاكرة، مما يترك بصمة رقمية قليلة جدًا.

ارتبطت مجموعة Slow Pisces بسرقات رفيعة المستوى، بما في ذلك استغلال Bybit بقيمة 1.4 مليار دولار في وقت سابق من هذا العام.

ولم تتغير تكتيكات المجموعة كثيرًا بمرور الوقت، وتقول الوحدة 42 إن ذلك قد يكون بسبب مدى نجاح أساليبهم واستهدافها.

“قبل اختراق Bybit، كان هناك قدر ضئيل للغاية من الوعي التفصيلي والإبلاغ عن الحملة في المصادر المفتوحة، وبالتالي فمن المحتمل أن الجهات الفاعلة في التهديد لم تشعر بالحاجة إلى التغيير”، وفقًا لأندي بياتزا، المدير الأول لاستخبارات التهديدات في الوحدة 42.

وبدلاً من ذلك، قام الجناة بتحسين أمنهم التشغيلي وفقًا للباحثين، وتم رصدهم وهم يستخدمون حيل قوالب YAML وJavaScript لإخفاء الأوامر الضارة.

وأضاف الباحث الأمني براشيل باتني: “إن التركيز على الأفراد الذين يتم الاتصال بهم عبر LinkedIn، بدلاً من حملات التصيد الاحتيالي واسعة النطاق، يسمح للمجموعة بالسيطرة بشكل وثيق على المراحل اللاحقة من الحملة وتسليم الحمولات فقط للضحايا المتوقعين”.

قراصنة من كوريا الشمالية يستهدفون متخصصي تكنولوجيا المعلومات

كانت مجموعات القرصنة في كوريا الشمالية مسؤولة عن بعض أكبر عمليات السرقة الإلكترونية في قطاع التشفير.

وتظهر بيانات من شركة Arkham Intelligence أن المحفظة المرتبطة بمجموعة Lazarus التابعة لكوريا الشمالية كانت تحتوي على ما يزيد عن 800 مليون دولار من عملة البيتكوين في وقت إعداد التقرير.

وأشار تقرير صادر عن مجموعة Google Threat Intelligence Group في وقت سابق من هذا الشهر إلى زيادة في عدد العاملين في مجال تكنولوجيا المعلومات من كوريا الشمالية الذين يتسللون إلى شركات التكنولوجيا والعملات المشفرة، وخاصة في جميع أنحاء أوروبا.

في العام الماضي، أفاد موقع Invezz أن مجموعتين من القراصنة تحملان أسماء مستعارة Sapphire Sleet وRuby Sleet كانتا مسؤولتين عن خسائر كبيرة في مجال التشفير.

تبين أن الجهات الخبيثة تنتحل صفة المسؤولين عن التوظيف والمستثمرين وحتى موظفي الشركات المستهدفة للتسلل عبر عمليات فحص الأمان الأولية وزرع البرامج الضارة.

ركزت شركة Sapphire Sleet بشكل كبير على شركات التشفير، وبحسب ما ورد تمكنت من تحويل ما لا يقل عن 10 ملايين دولار إلى النظام الكوري الشمالي في غضون ستة أشهر.

تمت ترجمة هذا المقال من اللغة الإنجليزية بمساعدة أدوات الذكاء الاصطناعي، ثم تمت مراجعته وتحريره بواسطة مترجم محلي.