موج جدیدی از حملات سایبری نشان میدهد که کره شمالی در حال سوءاستفاده از مسیرهای جذب نیروی انسانی در صنعت رمزارز است. این کشور از پیشنهادهای شغلی جعلی در LinkedIn، تماسهای ویدیویی Zoom با چهرههای دیپفیک، و فایلهای مصاحبه آلوده استفاده میکند تا به کیف پولها و مخازن کد توسعهدهندگان Web3 دسترسی پیدا کند.
با کاهش نیروهای متخصص در این حوزه و افزایش وابستگی پروتکلهای متنباز به مشارکتکنندگان مستقل، میزان ریسک هیچگاه تا این حد بالا نبوده است.
نفوذ توسعهدهندگان توسط هکرهای کره شمالی
در ۱۸ ژوئن، شرکت امنیت سایبری Huntress از کمپینی پرده برداشت که به گروه BlueNoroff — زیرمجموعهای از گروه بدنام Lazarus — نسبت داده شده و هدف آن یکی از توسعهدهندگان یک بنیاد بزرگ Web3 بوده است.
فریبکاری با یک پیام حرفهای از یک "استخدامکننده" در LinkedIn آغاز شد، که پس از آن مصاحبهای ویدیویی در Zoom با یکی از مدیران ارشد شرکت انجام شد. در واقع، این تصویر ویدیویی یک دیپفیک بود و فایل ارزیابی فنیای که از داوطلب خواسته شد اجرا کند (zoom_sdk_support.scpt
)، بدافزاری چندسکویی به نام BeaverTail را نصب میکرد که قادر به سرقت عبارات بازیابی (seed phrases)، کیف پولهای رمزارز و اعتبارنامههای GitHub است.
این تاکتیکها نشانهای از تشدید قابلتوجه حملات است. به گفته پژوهشگران Silent Push در آوریل:
«در این کمپین جدید، گروه مهاجم از سه شرکت صوری در حوزه مشاوره رمزارزی استفاده میکند تا از طریق فریب مصاحبه شغلی، بدافزار منتشر کند.»
این شرکتها شامل BlockNovas، SoftGlide و Angeloper بودند که همگی ثبت رسمی در آمریکا داشتند و آگهیهای شغلیشان در LinkedIn بهراحتی از فیلترهای منابع انسانی عبور میکرد.
دامنه BlockNovas در آوریل توسط FBI توقیف شد. تا آن زمان، چندین توسعهدهنده در تماسهای جعلی Zoom شرکت کرده بودند و تشویق به نصب اپهای اختصاصی یا اجرای اسکریپتها شده بودند. بسیاری از آنها نیز این کار را انجام داده بودند.
این حملات، فریبهای ساده نیستند بلکه بخشی از یک کمپین پیشرفته و بودجهدار دولتیاند. از سال ۲۰۱۷، گروههای هکری کره شمالی بیش از ۱.۵ میلیارد دلار رمزارز به سرقت بردهاند، از جمله هک ۶۲۰ میلیون دلاری Ronin/Axie Infinity.
به گزارش وزارت خزانهداری ایالات متحده، این داراییهای دزدیدهشده معمولاً از طریق میکسرهایی مانند Tornado Cash و Sinbad پولشویی شده و در نهایت صرف تأمین مالی برنامههای تسلیحاتی کره شمالی میشوند.
سو جی. بای از بخش امنیت ملی وزارت دادگستری آمریکا گفت:
«کره شمالی سالهاست که از پیمانکاری از راه دور در حوزه IT و اکوسیستم رمزارز برای دور زدن تحریمهای آمریکا و تأمین بودجه برنامههای تسلیحاتی خود استفاده میکند.»
در ۱۶ ژوئن، دفتر او اعلام کرد که ۷.۷۴ میلیون دلار رمزارز مرتبط با طرح کارگران IT جعلی را توقیف کرده است.
تمرکز بر توسعهدهندگان رمزارز
اهداف با دقت انتخاب میشوند. ذات متنباز پروتکلهای رمزارزی باعث میشود که یک توسعهدهنده منفرد — اغلب با هویتی مستعار و در نقاط مختلف جهان — سطح دسترسی حساسی به زیرساختهای حیاتی داشته باشد، از قراردادهای هوشمند گرفته تا پلهای بلاکچینی.
طبق آخرین گزارش توسعهدهندگان Electric Capital، حدود ۳۹,۱۴۸ توسعهدهنده جدید فعال در رمزارزها ثبت شدهاند، اما تعداد کل توسعهدهندگان سالبهسال حدود ۷٪ کاهش داشته است. تحلیلگران میگویند که عرضه توسعهدهندگان باتجربه کاهش یافته و همین باعث میشود که نفوذ به یک توسعهدهنده، خطر بسیار بالایی داشته باشد.
به همین دلیل است که روند جذب نیرو، به میدان نبرد امنیت سایبری تبدیل شده است. بهمحض آنکه استخدامکنندهای از شرکت صوری از فیلتر منابع انسانی عبور کند، مهندسانی که در بازار نزولی به دنبال شغل پایدار هستند، ممکن است علائم هشدار را نادیده بگیرند. در چند مورد، مهاجمان حتی از لینکهای Calendly و دعوتنامههای Google Meet استفاده کردهاند که بیسر و صدا کاربر را به دامنههایی شبیه Zoom تحت کنترل مهاجم هدایت میکردند.
بدافزارهای این کمپین پیشرفته و ماژولار هستند. شرکتهای Huntress و Unit 42 بدافزارهایی مانند BeaverTail، InvisibleFerret و OtterCookie را شناسایی کردهاند که همگی با فریمورک Qt برای سازگاری با سیستمعاملهای مختلف کامپایل شدهاند. پس از نصب، این ابزارها افزونههای مرورگری مانند MetaMask و Phantom را اسکن کرده، فایلهای wallet.dat
را استخراج میکنند و بهدنبال کلمات کلیدی مانند “mnemonic” یا “seed” در فایلهای متنی میگردند.
با وجود پیشرفت فنی این حملات، فشار نهادهای اجرای قانون در حال افزایش است. توقیف دامنهها توسط FBI، مصادرههای مالی توسط وزارت دادگستری، و تحریمهای وزارت خزانهداری علیه میکسرها، همگی هزینه اجرای عملیات را برای هکرهای پیونگیانگ افزایش دادهاند. با این حال، رژیم همچنان تطبیقپذیر باقی مانده است.
هر شرکت صوری، شخصیت استخدامکننده یا بار مخرب جدید، با ظاهری هرچه متقاعدکنندهتر عرضه میشود. با کمک ابزارهای هوش مصنوعی مولد، حتی مدیران جعلی در تماسهای زنده نیز حالا ظاهر و حرکاتی باورپذیر دارند. با آنکه DeFi بر اساس سیستمهایی بدون نیاز به اعتماد بنا شده، اما همچنان متکی به دایرهای کوچک و آسیبپذیر از نگهدارندگان انسانی قابل اعتماد است.
یورش گسترده به رمزارز توسط کره شمالی
گزارش اخیر CryptoSlate نمایی کلی از یورش گسترده پیونگیانگ به صنعت رمزارز ارائه میدهد. یک تحلیل پایانساله نشان داد که گروههای مرتبط با کره شمالی در سال ۲۰۲۴ حدود ۱.۳۴ میلیارد دلار از ۴۷ حمله به سرقت بردهاند — که معادل ۶۱٪ از کل رمزارزهای دزدیدهشده در آن سال است.
بخشی بزرگ از این رقم از حمله ۳۰۵ میلیون دلاری به صرافی DMM Bitcoin ژاپن ناشی میشود. FBI اعلام کرد این حمله با جعل استخدامکنندهای از طرف TraderTraitor در LinkedIn آغاز شد که فایل "آزمون کدنویسی" آلودهای را به یکی از مهندسان کیف پول Ginco ارسال کرده بود.
همین الگو در فوریه امسال شدت گرفت؛ FBI اعلام کرد حمله ۱.۵ میلیارد دلاری به Bybit توسط Lazarus انجام شده و سارقان طی چند روز اول، ۱۰۰,۰۰۰ اتریوم را از طریق THORChain پولشویی کردهاند.
عملیاتهای کره شمالی شامل جعل سرمایهگذاران خطرپذیر، استخدامکنندگان، و کارگران از راه دور IT است؛ آنها از پروفایلهای ساختهشده با هوش مصنوعی و مصاحبههای دیپفیک استفاده میکنند تا حقوق بگیرند، کد منبع را استخراج کنند و از شرکتها اخاذی کنند — چیزی که محققان Microsoft آن را «طرح سهگانه تهدید» نامیدهاند.
در دنیایی که مشاغل از راه دورند، اعتماد دیجیتال است و نرمافزار کنترل پول را در دست دارد، حمله بعدی دولتی ممکن است نه با یک اکسپلویت، بلکه با یک دستدادن آغاز شود.
ثبت نظر