كشف تقرير صادر عن شركة Cisco Talos يوم الأربعاء أن جهة تهديد مرتبطة بكوريا الشمالية استهدفت باحثين عن عمل في قطاع العملات الرقمية باستخدام برمجية خبيثة جديدة مصممة لسرقة كلمات المرور الخاصة بالمحافظ الرقمية ومديري كلمات المرور.

وأوضحت الشركة أن البرمجية الخبيثة، وهي عبارة عن حصان طروادة للوصول عن بُعد مكتوب بلغة Python وأطلقت عليها اسم PylangGhost، ترتبط بمجموعة قرصنة تابعة لكوريا الشمالية تُعرف باسم Famous Chollima أو Wagemole.

تستهدف هذه المجموعة بشكل رئيسي باحثين عن عمل وموظفين ذوي خبرة في العملات الرقمية وتقنيات البلوكتشين، وتركز هجماتها بشكل أساسي في الهند، من خلال حملات توظيف وهمية تعتمد على أساليب الهندسة الاجتماعية.

وجاء في التقرير:
"استنادًا إلى الوظائف المعلن عنها، من الواضح أن مجموعة Famous Chollima تستهدف الأفراد الذين لديهم خبرة سابقة في العملات الرقمية وتقنيات البلوكتشين."

مواقع توظيف واختبارات وهمية لتثبيت البرمجية الخبيثة

ينشئ المهاجمون مواقع توظيف مزيفة تنتحل صفة شركات معروفة مثل Coinbase وRobinhood وUniswap، ويتم إرشاد الضحايا عبر عملية متعددة الخطوات تبدأ بتواصل أولي من مجندين وهميين يرسلون دعوات إلى مواقع اختبار المهارات حيث يجمعون المعلومات.

نموذج لموقع وظائف وهمية. المصدر: Cisco Talos

بعد ذلك، يتم خداع الضحايا لتمكين الوصول إلى الكاميرا والفيديو بحجة إجراء مقابلات، ثم يُطلب منهم نسخ أوامر وتنفيذها بدعوى تثبيت تعريفات فيديو محدثة، مما يؤدي إلى اختراق أجهزتهم.

الحمولة الخبيثة تستهدف المحافظ الرقمية

ذكرت Cisco Talos أن PylangGhost هو نسخة معدّلة من حصان طروادة GolangGhost المعروف سابقًا، ويشترك معه في العديد من الوظائف.

وعند تشغيل البرمجية، تُمكّن الأوامر المهاجمين من التحكم عن بعد في النظام المصاب وسرقة الكوكيز وبيانات تسجيل الدخول من أكثر من 80 إضافة للمتصفحات، بما في ذلك مديري كلمات المرور والمحافظ الرقمية مثل MetaMask، 1Password، NordPass، Phantom، Bitski، Initia، TronLink وMultiverseX.

تعليمات تنزيل الحمولة. المصدر: Cisco Talos

برمجية خبيثة متعددة المهام

يمكن للبرمجية تنفيذ مهام أخرى مثل التقاط لقطات شاشة، إدارة الملفات، سرقة بيانات المتصفح، جمع معلومات النظام، والحفاظ على الوصول عن بعد.

وأشار الباحثون إلى أنه من غير المحتمل أن يكون المهاجمون قد استخدموا نموذج لغة اصطناعية مثل الذكاء الاصطناعي للمساعدة في كتابة الكود، بناءً على التعليقات داخل الشيفرة.

حيل التوظيف المزيفة ليست جديدة

لم تكن هذه المرة الأولى التي يستخدم فيها قراصنة مرتبطون بكوريا الشمالية حيل الوظائف والمقابلات المزيفة للإيقاع بضحاياهم. ففي أبريل الماضي، استهدف قراصنة مرتبطون بعملية سرقة Bybit البالغة 1.4 مليار دولار مطوري العملات الرقمية من خلال اختبارات توظيف مزيفة ملوثة بالبرمجيات الخبيثة.