في تحذير جديد يعكس تصاعد الأنشطة السيبرانية المدعومة من أنظمة دولية، كشفت شركة Cisco Talos عن حملة اختراق متقدمة تقودها مجموعة قرصنة مرتبطة بكوريا الشمالية، استهدفت باحثين عن عمل في مجال العملات الرقمية وتقنيات البلوكتشين باستخدام برمجية خبيثة جديدة تُدعى PylangGhost.
البرمجية الخبيثة: حصان طروادة بلغة Python
ووفقًا للتقرير الذي صدر يوم الأربعاء، فإن البرمجية المكتشفة حديثًا هي حصان طروادة للوصول عن بُعد، مكتوب بلغة Python، وتُستخدم لسرقة كلمات المرور من المحافظ الرقمية ومديري كلمات المرور. وترتبط هذه البرمجية بمجموعة قرصنة تُعرف باسم Famous Chollima، أو Wagemole، وهي جهة تهديد يُعتقد أنها تعمل بتوجيه من كوريا الشمالية.
هجمات مركّزة ضد مواهب الكريبتو
بحسب Cisco Talos، تستهدف هذه الهجمات موظفين متخصصين في الكريبتو والبلوكتشين، لا سيما في الهند، عبر حملات توظيف وهمية تعتمد على الهندسة الاجتماعية لجمع المعلومات واختراق الأجهزة.
وقال التقرير:
“من الواضح أن المجموعة تستهدف أفرادًا ذوي خبرة مسبقة في تقنيات الكريبتو والبلوكتشين، بناءً على نوع الوظائف المعلنة.”
مواقع وهمية تنتحل شركات كبرى
تبدأ العملية الاحتيالية عبر إنشاء مواقع توظيف مزيفة تنتحل هوية منصات شهيرة مثل Coinbase، Robinhood، وUniswap. يتلقى الضحايا رسائل من مجندين مزيفين تدعوهم إلى إجراء “اختبارات مهارات”، حيث يتم جمع بياناتهم في البداية، ثم خداعهم لتمكين الوصول إلى الكاميرا والصوت بحجة “إجراء مقابلة عمل بالفيديو”.
بعدها، يُطلب من الضحية نسخ وتنفيذ أوامر على جهازه، بزعم تثبيت “تعريفات فيديو”، ما يتيح زرع البرمجية والتحكم الكامل في الجهاز.
قدرات متقدمة: من سرقة المحافظ إلى لقطات الشاشة
تشير Cisco Talos إلى أن PylangGhost هي نسخة مطورة من برمجية سابقة تُدعى GolangGhost، وتتمتع بقدرات خبيثة تشمل:
- التحكم عن بعد في النظام المصاب.
- سرقة بيانات تسجيل الدخول من أكثر من 80 إضافة متصفح، بما في ذلك محافظ مشفرة مثل MetaMask، 1Password، Phantom، NordPass، Bitski، Initia، TronLink وMultiverseX.
- التقاط لقطات شاشة، سرقة ملفات النظام، جمع بيانات الأجهزة، والحفاظ على اتصال دائم بالجهاز المصاب.
الذكاء الاصطناعي لم يُستخدم
رغم تعقيد الكود، أوضح التقرير أن المهاجمين لم يستخدموا أدوات الذكاء الاصطناعي، إذ أن التعليقات داخل الشيفرة توحي بكتابة يدوية تقليدية.
نمط متكرر في هجمات كوريا الشمالية
وتُعد هذه الهجمات امتدادًا لأساليب قديمة تبنتها كوريا الشمالية سابقًا، إذ سبق أن استُخدمت حيل توظيف وهمية لاستهداف مطوري العملات الرقمية، كما حصل في أبريل الماضي حين أدت هجمة مشابهة إلى سرقة ما يزيد عن 1.4 مليار دولار من منصة Bybit.
اترك تعليقا