جهاز تم اختراقه من قبل عامل تكنولوجيا المعلومات الكوري الشمالي كشف عن تفاصيل العمل الداخلي للفريق وراء اختراق Favrr الذي بلغ قيمته 680,000 دولار واستخدامهم لأدوات جوجل لاستهداف مشاريع العملات المشفرة.
ملخص
جهاز مخترق يعود لعامل في تكنولوجيا المعلومات من كوريا الشمالية كشف عن آليات عمل المهاجمين.
تشير الأدلة إلى أن العملاء استخدموا أدوات مدعومة من Google، وAnyDesk، وVPNs لاختراق شركات التشفير.
وفقًا للمحقق على السلسلة زاك إكس بي تي، بدأت المسيرة بمصدر غير مسمى حصل على وصول إلى أحد أجهزة الكمبيوتر الخاصة بالعمال، مكشفًا عن لقطات شاشة، وتصديرات من جوجل درايف، وملفات تعريف كروم التي كشفت عن كيفية تخطيط المشغلين وتنفيذ مخططاتهم.
استنادًا إلى نشاط المحفظة ومطابقة بصمات الأصابع الرقمية، تحقق ZachXBT من المادة المصدرية وربط معاملات مجموعة العملات المشفرة باستغلال سوق الرموز المعجبين Favrr في يونيو 2025. أظهرت عنوان محفظة واحد، "0x78e1a"، روابط مباشرة بالأموال المسروقة من الحادث.
داخل العملية
أظهر الجهاز الم compromised أن الفريق الصغير - الذي يتكون من ستة أعضاء في المجموع - شارك على الأقل 31 هوية مزيفة. للحصول على وظائف تطوير blockchain، جمعوا بطاقات هوية صادرة عن الحكومة وأرقام هواتف، حتى أنهم اشتروا حسابات في LinkedIn وUpwork لإكمال تغطيتهم.
كشف نص مقابلة عُثر عليه على الجهاز عن افتخارهم بخبرتهم في شركات بلوكتشين معروفة، بما في ذلك بوليغون لابس، أوبن سي، وتشين لينك.
كانت أدوات جوجل مركزية في سير العمل المنظم لديهم. وُجد أن المهاجمين كانوا يستخدمون جداول بيانات درايف لتتبع الميزانيات والجداول الزمنية، بينما كانت ترجمة جوجل تسد الفجوة اللغوية بين الكورية والإنجليزية.
من بين المعلومات المستخرجة من الجهاز كان هناك جدول بيانات يُظهر أن عمال تكنولوجيا المعلومات كانوا يستأجرون أجهزة الكمبيوتر ويدفعون مقابل الوصول إلى VPN لشراء حسابات جديدة لعملياتهم.
اعتمد الفريق أيضًا على أدوات الوصول عن بُعد مثل AnyDesk، مما سمح لهم بالتحكم في أنظمة العملاء دون الكشف عن مواقعهم الحقيقية. كانت سجلات VPN تربط نشاطهم بمناطق متعددة، مما يخفي عناوين IP الكورية الشمالية.
كشفت النتائج الإضافية أن المجموعة تبحث عن طرق لنشر الرموز عبر سلاسل الكتل المختلفة، وتستكشاف شركات الذكاء الاصطناعي في أوروبا، ورسم أهداف جديدة في مجال العملات المشفرة.
ممثلو التهديد الكوريون الشماليون يستخدمون وظائف عن بُعد
وجد ZachXBT نفس النمط الذي تم الإشارة إليه في تقارير متعددة للأمن السيبراني - عمال تكنولوجيا المعلومات الكوريون الشماليون يحصلون على وظائف عن بُعد مشروعة للتسلل إلى قطاع العملات المشفرة. من خلال التظاهر كمطورين مستقلين، يحصلون على إمكانية الوصول إلى مستودعات الشيفرة، وأنظمة الخلفية، وبنية المحفظة.
تم الكشف عن وثيقة واحدة على الجهاز كانت ملاحظات مقابلة ومواد إعداد من المحتمل أن تكون مخصصة للاحتفاظ بها على الشاشة أو بالقرب منها أثناء المكالمات مع أصحاب العمل المحتملين.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
عمال تكنولوجيا المعلومات في كوريا الشمالية استخدموا أكثر من 30 هوية مزيفة لاستهداف شركات التشفير: تقرير
جهاز تم اختراقه من قبل عامل تكنولوجيا المعلومات الكوري الشمالي كشف عن تفاصيل العمل الداخلي للفريق وراء اختراق Favrr الذي بلغ قيمته 680,000 دولار واستخدامهم لأدوات جوجل لاستهداف مشاريع العملات المشفرة.
ملخص
وفقًا للمحقق على السلسلة زاك إكس بي تي، بدأت المسيرة بمصدر غير مسمى حصل على وصول إلى أحد أجهزة الكمبيوتر الخاصة بالعمال، مكشفًا عن لقطات شاشة، وتصديرات من جوجل درايف، وملفات تعريف كروم التي كشفت عن كيفية تخطيط المشغلين وتنفيذ مخططاتهم.
استنادًا إلى نشاط المحفظة ومطابقة بصمات الأصابع الرقمية، تحقق ZachXBT من المادة المصدرية وربط معاملات مجموعة العملات المشفرة باستغلال سوق الرموز المعجبين Favrr في يونيو 2025. أظهرت عنوان محفظة واحد، "0x78e1a"، روابط مباشرة بالأموال المسروقة من الحادث.
داخل العملية
أظهر الجهاز الم compromised أن الفريق الصغير - الذي يتكون من ستة أعضاء في المجموع - شارك على الأقل 31 هوية مزيفة. للحصول على وظائف تطوير blockchain، جمعوا بطاقات هوية صادرة عن الحكومة وأرقام هواتف، حتى أنهم اشتروا حسابات في LinkedIn وUpwork لإكمال تغطيتهم.
كشف نص مقابلة عُثر عليه على الجهاز عن افتخارهم بخبرتهم في شركات بلوكتشين معروفة، بما في ذلك بوليغون لابس، أوبن سي، وتشين لينك.
كانت أدوات جوجل مركزية في سير العمل المنظم لديهم. وُجد أن المهاجمين كانوا يستخدمون جداول بيانات درايف لتتبع الميزانيات والجداول الزمنية، بينما كانت ترجمة جوجل تسد الفجوة اللغوية بين الكورية والإنجليزية.
من بين المعلومات المستخرجة من الجهاز كان هناك جدول بيانات يُظهر أن عمال تكنولوجيا المعلومات كانوا يستأجرون أجهزة الكمبيوتر ويدفعون مقابل الوصول إلى VPN لشراء حسابات جديدة لعملياتهم.
اعتمد الفريق أيضًا على أدوات الوصول عن بُعد مثل AnyDesk، مما سمح لهم بالتحكم في أنظمة العملاء دون الكشف عن مواقعهم الحقيقية. كانت سجلات VPN تربط نشاطهم بمناطق متعددة، مما يخفي عناوين IP الكورية الشمالية.
كشفت النتائج الإضافية أن المجموعة تبحث عن طرق لنشر الرموز عبر سلاسل الكتل المختلفة، وتستكشاف شركات الذكاء الاصطناعي في أوروبا، ورسم أهداف جديدة في مجال العملات المشفرة.
ممثلو التهديد الكوريون الشماليون يستخدمون وظائف عن بُعد
وجد ZachXBT نفس النمط الذي تم الإشارة إليه في تقارير متعددة للأمن السيبراني - عمال تكنولوجيا المعلومات الكوريون الشماليون يحصلون على وظائف عن بُعد مشروعة للتسلل إلى قطاع العملات المشفرة. من خلال التظاهر كمطورين مستقلين، يحصلون على إمكانية الوصول إلى مستودعات الشيفرة، وأنظمة الخلفية، وبنية المحفظة.
تم الكشف عن وثيقة واحدة على الجهاز كانت ملاحظات مقابلة ومواد إعداد من المحتمل أن تكون مخصصة للاحتفاظ بها على الشاشة أو بالقرب منها أثناء المكالمات مع أصحاب العمل المحتملين.