ذكرت Cisco Talos أن مجموعة من القراصنة في كوريا الشمالية تدعى “Chollima الشهير” تركز الهجمات على المتقدمين للتشفير في الهند. يبدو أن هذه المجموعة ليس لديها اتصال مباشر مع لازاروس.
في الوقت الحالي ، من الصعب تحديد ما إذا كانت هذه الجهود هي السرقات البسيطة أو الأساس الأولي لهجمات أكبر. يجب على الباحثين عن عمل في صناعة التشفير توخي الحذر للمضي قدمًا.
يستمر اختراقات التشفير في كوريا الشمالية
تتمتع مجموعة Lazarus في كوريا الشمالية بسمعة هائلة لجريمة التشفير ، والتي ترتكب أعظم اختراق في تاريخ الصناعة. ومع ذلك ، فهي ليست مؤسسة Web3 الإجرامية الوحيدة في البلاد ، حيث أن كوريا الشمالية لها وجود كبير في Defi.
حددت Cisco Talos بعض الأنشطة الإجرامية الحديثة في الهند التي تتخذ مقاربة مختلفة لسرقة التشفير:
تشير التقارير إلى أن Chollima الشهيرة ليست جديدة ؛ لقد كان يعمل منذ منتصف عام 2014 أو قبل ذلك. في العديد من الحوادث الأخيرة ، حاول المتسللون الكوريون الشماليون التسلل إلى شركات تشفير مقرها الولايات المتحدة مثل Kraken من خلال التقدم للحصول على قوائم الوظائف المفتوحة.
قامت تشوليما الشهيرة بالعكس ، وجذب العمال المحتملين مع التطبيقات الزائفة.
“تشمل هذه الحملات … إنشاء إعلانات عمل وهمية وتصميم مهارات. في الأخير ، يتم توجيه المستخدمين إلى نسخ ولصق خط أوامر ضار من أجل تثبيت برامج التشغيل اللازمة لإجراء مرحلة اختبار المهارات النهائية. (المستخدمون المتأثرين) في الغالب في الهند” ، كما زعمت الشركة.
بجانب سمعة Lazarus الهائلة ، تبدو جهود التصيد الشهيرة في Chollima أكثر جاذبية. ادعى سيسكو أن التطبيقات المزيفة للمجموعة ستحاكي دائمًا شركات التشفير الشهيرة.
لم تستخدم هذه السحر أيًا من العلامات التجارية الفعلية للشركات الحقيقية ، وطرح الأسئلة التي لم تكن ذات صلة بالوظائف المفترضة المعنية.
تطبيق Robinhood مزيف المستخدم في الاختراقات. المصدر: Cisco Talos
ابتلاع الطعم
يتم إغراء الضحايا من خلال مواقع التوظيف المزيفة التي تشكل شركات معروفة للتكنولوجيا أو التشفير. بعد ملء الطلبات ، يتم دعوتهم إلى مقابلة فيديو.
خلال هذه العملية ، يطلب منهم الموقع تشغيل تعليمات سطر الأوامر-المطالب بها لتثبيت برامج تشغيل الفيديو-والتي بالفعل تنزيل وتثبيت البرامج الضارة.
بمجرد التثبيت ، يمنح Pylangghost المهاجمين السيطرة الكاملة على نظام الضحية. إنه يسرق بيانات الاعتماد على تسجيل الدخول وبيانات المتصفح ومعلومات محفظة التشفير ، ويستهدف أكثر من 80 امتدادات شائعة مثل Metamask و Phantom و 1Password.
في الآونة الأخيرة ، بعد إحباط هجوم من البرامج الضارة ، ادعى Bitmex أن لازاروس يستخدم فريقين على الأقل: فريق منخفض المهارات لخرق بروتوكولات الأمان في البداية وفريقًا عالي المهارة لإجراء السرقات اللاحقة. ربما هذه ممارسة شائعة في مجتمع القرصنة في كوريا الشمالية.
لسوء الحظ ، من الصعب اتخاذ أي استنتاجات ثابتة دون التكهن. هل ترغب كوريا الشمالية في اختراق هؤلاء المتقدمين لتشكيلهم بشكل أفضل كباحثين عن عمل صناعة التشفير؟
يجب أن تكون Uers حذرة من عروض الوظائف غير المرغوب فيها ، وتجنب تشغيل أوامر غير معروفة ، وتأمين أنظمتها مع حماية نقطة النهاية ، و MFA ، ومراقبة تمديد المتصفح.
تحقق دائمًا من شرعية بوابات التوظيف قبل مشاركة أي معلومات حساسة.