تُظهر موجة جديدة من الهجمات الإلكترونية أن DPRK تستغل مسار التوظيف في صناعة التشفير ، وذلك باستخدام عروض عمل LinkedIn المزيفة ، ومكالمات تكبير العميق ، وملفات المقابلة الخلفية للوصول إلى محافظ وموظفي مطوري Web3.
مع وجود موهبة المطورين المخضرمين بالفعل ، تعتمد بروتوكولات العمل المفتوحة على نحو متزايد على المساهمين الفرديين ، لم تكن المخاطر أعلى من أي وقت مضى.
تطور المتسللين الكوريين الشماليين
في 18 يونيو ، Huntress شركة الأمن السيبراني ذكرت حملة تعزى إلى Bluenoroff ، مجموعة فرعية من مجموعة Lazarus Croup سيئة السمعة تستهدف مطورًا في مؤسسة Web3 الرئيسية.
بدأت Ruse بملعب مجند مصقول على LinkedIn ، يليه ما بدا أنه عبارة عن مقابلة تكبير مع أحد كبار المسؤولين التنفيذيين. في الواقع ، كانت تغذية الفيديو بعمق ، وملف “التقييم الفني” الذي كان المرشح المرشح طلب الجري، `zoom_sdk_support.scpt` ، تم نشر البرامج الضارة عبر الطمث التي يطلق عليها Beavertail والتي يمكن أن تحصد عبارات البذور ، والكرفات المشفرة ، وبيانات اعتماد github.
هذه التكتيكات تمثل تصعيدا حادا. “في هذه الحملة الجديدة ، تستخدم مجموعة التهديدات – ثلاث شركات أمامية في صناعة الاستشارات المشفرة … لنشر البرامج الضارة عبر” LOUSE LUREs “، الباحثين في Silent Push كتب في أبريل، في إشارة إلى شركات مثل Blocknovas و SoftGlide و Angeloper. حافظ الثلاثة على تسجيلات الشركات الأمريكية وشركات الوظائف LinkedIn التي اجتازت اختبارات شم الموارد البشرية بسهولة.
استولى مكتب التحقيقات الفيدرالي على مجال Blocknovas في أبريل. بحلول ذلك الوقت ، يقال إن العديد من المطورين قد جلسوا من خلال مكالمات التكبير المزيفة حيث تم حثهم على تثبيت تطبيقات مخصصة أو تشغيل البرامج النصية. امتثل الكثير.
هذه ليست عمليات احتيال بسيطة – تحطيمها ، ولكنها جزء من حملة ممولة جيدة التوجيه. منذ عام 2017 ، سرقت مجموعات القرصنة في كوريا الشمالية أكثر من 1.5 مليار دولار من Crypto ، بما في ذلك اختراق Ronin/Axie Infinity Hack البالغ 620 مليون دولار.
يتم تحويل الأصول المسروقة بشكل روتيني من خلال خلاطات مثل Tornado Cash و Sinbad ، وغسلت Pyongyang’s Take وتلفت في نهاية المطاف برنامج الأسلحة ، وفقًا لما ذكرته وزارة الخزانة الأمريكية.
“لسنوات ، استغلت كوريا الشمالية النظم الإيكولوجية في مجال تكنولوجيا المعلومات عن بُعد العالمية والتشفير للتهرب من العقوبات الأمريكية وبرامج الأسلحة الخاصة بها ،” قال سو ج. باي من قسم الأمن القومي في وزارة العدل. في 16 يونيو ، أعلنت مكتبها عن الاستيلاء على 7.74 مليون دولار من Crypto مرتبط بمخطط زملاء العمال المزيفين.
مطور التشفير التركيز
يتم اختيار الأهداف بعناية. تعني الطبيعة المفتوحة لبروتوكولات التشفير أن مهندسًا واحدًا ، وغالبًا ما يكون مستعدًا للوقاص وموزعة عالميًا ، قد يحمل امتيازات للبنية التحتية الحرجة ، من العقود الذكية إلى بروتوكولات الجسر.
أحدث رأس المال الكهربائي المتاح للجمهور تقرير المطور تم حساب حوالي 39148 مطور تشفير Active Crypto جديد ، حيث انخفض إجمالي المطورين بنسبة 7 ٪ على أساس سنوي تقريبًا. يقول محللو الصناعة إن توريد المشرفين المحنك قد شدد فقط ، مما يجعل كل مطور يتعرض للخطر خطيرًا بشكل غير متناسب.
هذا الخلل هو السبب في أن خط أنابيب التوظيف نفسه أصبح ساحة معركة للأمن السيبراني. بمجرد أن يتخطى مجند الأمامي من الموارد البشرية ، قد لا يتجاوز المهندسون ، الذين يتوقون إلى الاستقرار في السوق الهبوطي ، العلامات الحمراء في الوقت المناسب. في العديد من الحالات ، المهاجمين حتى مستخدم تدعو الروابط التقويمية و Google Meet إلى أن يتم إعادة توجيه الضحايا بصمت إلى المجالات المتشابهة التي تسيطر عليها المهاجمين.
مكدس البرامج الضارة متقدم ومعيار. الصياد والوحدة 42 لديهم فهرسة Beavertail و Invisibleferret و OtterCookie المتغيرات ، وكلها تم تجميعها مع إطار QT لتوافق المنجم. بمجرد التثبيت ، تتكشف الأدوات امتدادات المتصفح مثل metamask و phantom و exfiltrate `wallet.dat` ، والبحث عن مصطلحات مثل” ذئبوني “أو” بذرة “في ملفات النص العادي.
ومع ذلك ، على الرغم من التطور التقني ، فإن ضغط القانون – إنفاذ القانون يتصاعد. بدأت نوبات مجال مكتب التحقيقات الفيدرالي ، وفقدان وزارة العدل ، وعقوبات الخزانة على الخلاطات في رفع تكلفة ممارسة الأعمال التجارية للمتسللين في بيونج يانغ. النظام ، ومع ذلك ، لا يزال التكيف.
تصل كل شركة شل جديدة أو شخصية مجندة أو حمولة ضارة ملفوفة في عبوات أكثر إقناعًا. بفضل أدوات AI -AI ، حتى المديرين التنفيذيين المزيفين في المكالمات الحية ، يبدو الآن وينتقلون بمصداقية. لا تزال أنظمة Defi غير الموثوقة تعتمد على دائرة صغيرة ومتعرضة للخطر من المشرفين على البشر الموثوق بها.
الهجوم الكوري الشمالي الهجوم
مؤخرًا Cryptoslate ترسم التغطية قماشًا أوسع من الهجوم المشفر في بيونج يانج. وجد تحليل في نهاية العام أن المجموعات المرتبطة بكوريا الشمالية ترتدي 1.34 مليار دولار من 47 اختراقًا في عام 2024 ، والتي كانت ما مجموعه 61 ٪ من جميع المشفرات المسروقة في ذلك العام.
جاءت شريحة كبيرة من هذا العدد من خرق بقيمة 305 مليون دولار لبيتكوين في اليابان ، والتي يقول مكتب التحقيقات الفيدرالي عندما بدأ تشغيل شركة TraderTraitor كتجنيد LinkedIn وانزلق “اختبار ترميز” ضار لمهندس محفظة Ginco.
تصاعد كتاب اللعب نفسه في فبراير / شباط عندما عزا المكتب رقمًا قياسيًا بقيمة 1.5 مليار دولار إلى لازاروس ، مشيرًا إلى أن اللصوص قد غسلوا 100000 إيذان من خلال ثورشين في غضون أيام.
ينتحل كوريا الشمالية من أصحاب الرأسماليين ، وموظفي التوظيف ، وعمال تكنولوجيا المعلومات عن بُعد ، باستخدام ملفات تعريف أنشأها الذكاء الاصطناعى والمقابلات العميقة ، لكسب الرواتب ، ورمز المصدر ، وابتزاز الشركات في ما يسميه باحثو Microsoft “.تهديد ثلاثي” مخطط.
في عالم يمكن أن تكون فيه الوظائف بعيدة ، تكون الثقة رقمية ، ويدير البرامج الأموال ، فقد لا يبدأ خرق الدولة اللاحق مع استغلال ولكن مع مصافحة.
المذكورة في هذه المقالة
-
-
-
-
