يستخدم القراصنة شركات العملات الرقمية المزيفة لنشر البرمجيات الخبيثة في عمليات الاحتيال المتعلقة بالوظائف

يتظاهر القراصنة الكوريون الشماليون بأنهم شركات كريبتو، ويخدعون الباحثين عن العمل لتحميل برامج ضارة تسرق بيانات الدخول إلى المحافظ الرقمية خلال مقابلات وهمية.

اكتشف باحثو الأمن في سايلنت بوش حملة هجوم إلكتروني جديدة نظمتها مجموعة القرصنة الكورية الشمالية المعروفة بـ Contagious Interview أو ما يشار إليها أيضاً بـ Famous Chollima.

تعمل المجموعة على تشغيل ثلاث شركات احتيال للعملات المشفرة – BlockNovas LLC و Angeloper Agency و SoftGlide LLC – لـ خداع الباحثين عن عمل لتثبيت برامج الفيروسات.

تبدأ الخطة بنشر وظائف وهمية على مواقع العمل الحر والتوظيف، تستهدف الأفراد الباحثين عن أدوار في صناعة العملات المشفرة. عندما يرد المتقدمون، يُطلب منهم تحميل ملفات يُزعم أنها تحتوي على مواد المقابلات أو تحديات البرمجة.

تقوم هذه الملفات، مع ذلك، بتقديم برامج ضارة تم التعرف عليها على أنها BeaverTail، InvisibleFerret، و OtterCookie. تم تصميم البرامج الضارة لسرقة البيانات الحساسة، بما في ذلك بيانات اعتماد محفظة العملات المشفرة.

لتعزيز مصداقية الخدعة، ينشئ القراصنة ملفات تعريف موظفين وهميين باستخدام صور مُنتجة بواسطة الذكاء الصناعي. تم إنتاج بعض هذه الصور الشخصية باستخدام Remaker AI، أداة مصممة لصنع صور شخصية واقعية.

الشركات الثلاث المحتالة – بلوكنوفاس، أنجيلوبر، وسوفت جلايد – تعرض نفسها كأعمال تجارية شرعية، لكن الغرض الأساسي لها هو توزيع البرامج الخبيثة. يتم تضليل الضحايا لتنفيذ الشفرات البرمجية الخبيثة خلال ما يعتقدون أنه تقييمات فنية أو مقابلات.

تعتمد الهاكرز على منصات مثل GitHub وأسواق المستقلين ولوحات الوظائف لتوزيع البرامج الخبيثة وإدارة عملياتهم.

تتماشى استراتيجية الهجوم مع النمط الذي رُصد في العمليات السابقة لـ Contagious Interview، وهي مجموعة فرعية من فريق Lazarus الذي يدعمه النظام الكوري الشمالي. يُعرف فريق Lazarus بأنه يستخدم عروض عمل مزيفة وشخصيات مُنشأة بواسطة الذكاء الصناعي، ويستعين بوكلاء سكنيين وشبكات VPN لإخفاء موقعه أثناء استهداف الأفراد على مستوى العالم.

للحماية من هذه الهجمات، ينصح الخبراء الباحثين عن عمل بأن يكونوا حذرين من أي عروض تتطلب تنزيل ملفات غير معروفة أو تنفيذ الكود. من الضروري أيضًا التحقق من شرعية الشركات قبل المشاركة في المقابلات واستخدام برامج الأمان المحدثة.

روت إحدى المطورات تجربتها قائلة: “أردت أن أشارك كيف تم اختراق محفظتي MetaMask يوم أمس كقصة تحذيرية.”

“تلقيت مشروعًا جديدًا من خلال Freelancer.com. كان للعميل شارة ‘الدفع مُثبت’، لذا افترضت أنهم شرعيون. كان المشروع يتضمن تطوير الواجهة الخلفية للويب3، الأمر الذي كنت واثقة أنني قادرة على التعامل معه،” استمرت في القول.

“بعد قبول العقد، دعاني العميل إلى مشروعهم على GitLab وطلب مني تشغيل كود الخلفية الخاص بهم. وبعد فترة قصيرة من تشغيله، أدركت أن محفظتي MetaMask قد تم اختراقها،” حذرت المطورة.