كيف بنى قراصنة مستقلون من كوريا الشمالية شبكة سرقة عملات رقمية بقيمة 680,000 دولار

كشفت تحقيقات حديثة عن عملية مقلقة: حيث حافظت وحدة صغيرة من عملاء تكنولوجيا المعلومات الكوريين الشماليين على ما لا يقل عن 31 هوية احتيالية للتسلل إلى منصات العملات الرقمية وارتكاب سرقات واسعة النطاق. وأكبر حادث موثق كان سرقة 680,000 دولار من سوق الرموز المميزة المعجبين Favrr في يونيو 2025.

استراتيجية التسلل: بناء ملفات تعريف مستقلة موثوقة

تكشف المعلومات التي تم جمعها من جهاز مخترق كيف أن هؤلاء القراصنة المستقلين الكوريين الشماليين أنشأوا أنفسهم داخل صناعة العملات الرقمية. أنشأ الفريق هويات تغطية معقدة، وجمع وثائق شاملة تتضمن بطاقات هوية حكومية مزورة وأرقام هواتف. ولإظهار شرعيتهم على منصات التوظيف، اشتروا حسابات LinkedIn و Upwork موثوقة، مستعيرين بشكل فعال مصداقية المستخدمين السابقين.

أصبحت وظائف مهندسي البلوكتشين وتطوير العقود الذكية أهدافهم الأساسية. تشير الأدلة إلى أن شخصًا واحدًا تقدم لوظيفة مهندس كامل المكدس في Polygon Labs، بينما تظهر نصوص المقابلات ادعاءات بالتوظيف السابق في كيانات مشهورة في مجال العملات الرقمية مثل OpenSea و Chainlink. نجحت هذه الاعتمادات المزيفة في وضعهم داخل منظمات العملات الرقمية غير المشكوك فيها.

البنية التحتية التشغيلية: الوصول عن بعد والإخفاء الرقمي

بمجرد تواجدهم في مشاريع العملات الرقمية، استخدم القراصنة المستقلون برامج وصول عن بعد متطورة مثل AnyDesk لأداء العمل مع الحفاظ على بعد جسدي عن أصحاب العمل. أخفى تقنية VPN موقعهم الجغرافي، مما خلق وهم العمال عن بعد الشرعيين من مناطق أخرى.

أصبحت مجموعة أدوات Google مركزية لعملياتهم. تكشف البيانات المسربة أنهم أديروا جداول المشاريع، وتعيينات المهام، والميزانيات عبر Google Drive. تظهر تصديرات ملفات Chrome اعتمادًا كبيرًا على خدمات الترجمة من Google للحفاظ على التواصل باللغة الإنجليزية أثناء العمل من منطقة غير ناطقة بها. تسجل السجلات المالية 1,489.8 دولار من النفقات التشغيلية خلال مايو فقط.

من التوظيف إلى الاستغلال: اختراق Favrr بقيمة 680,000 دولار

حددت التحقيقات علاقات مباشرة بين هذه البنية التحتية وسرقة محددة في العملات الرقمية. أظهر عنوان المحفظة 0x78e1a أنماطًا تتوافق مع تدفقات الأموال من اختراق Favrr في يونيو. تربط الأدلة على البلوكتشين بين الأفراد الذين يقدمون أنفسهم باسم “أليكس هونغ” ومطورين آخرين — جميعهم جزء من نفس العملية المنسقة في كوريا الشمالية. كانت هذه المجموعة قد استهدفت سابقًا بورصة العملات الرقمية Bitbit في فبراير، ونسقت سرقة بقيمة 1.4 مليار دولار هزت الصناعة.

بالصدفة، كشفت سجل البحث الخاص بهم عن جمع معلومات استخبارية حول بنية تحتية أوسع للعملات الرقمية — استعلامات حول نشر رموز ERC-20 على سولانا، وبحوث حول شركات تطوير الذكاء الاصطناعي الأوروبية، تشير إلى توسع في الاهتمامات المستهدفة خارج الحوادث الأولية.

الخطر الأوسع: لماذا تظل شركات العملات الرقمية عرضة للخطر

يؤكد خبراء الأمن أن هؤلاء القراصنة المستقلين استغلوا ضعفًا أساسيًا في عمليات التوظيف. على الرغم من بساطة منهجية التسلل، فإن شركات العملات الرقمية تفشل باستمرار في تنفيذ تدقيق كافٍ. إن حجم الطلبات على وظائف التطوير يسبب إرهاقًا لاتخاذ القرارات بين فرق التوظيف، مما يؤدي إلى تقييم غير دقيق.

يزيد التشتت بين شركات العملات الرقمية ومنصات العمل الحر من المشكلة. لا يحافظ أي من النظامين على أنظمة تحقق قوية عبر المنصات، مما يترك ثغرات يمكن للعناصر المهددة استغلالها. تظهر العقوبات التي فرضتها وزارة الخزانة الأمريكية على شخصين وأربع كيانات مرتبطة بشبكات عمال تكنولوجيا المعلومات في كوريا الشمالية وعي الحكومة بالتهديد، ومع ذلك فإن تبني القطاع الخاص لإجراءات أمنية مماثلة لا يزال غير متسق.

الدرس واضح: التحقق الشامل من الخلفية، وتبادل المعلومات عبر المنصات، والشك في ملفات المرشحين غير المتطابقة جغرافيًا، تمثل دفاعات ضرورية ضد محاولات التسلل المنسقة التي ينفذها قراصنة مستقلون مدعومون من الدولة تستهدف قطاع العملات الرقمية.