استخدم مطورو البرامج من كوريا الشمالية هويات مزيفة لسرقة مشروع تشفير: ZachXBT
أصدر المحقق في Blockchain ZachXBT معلومات تتعلق بمطورين من كوريا الشمالية يزعم أنهم سرقوا 1.3 مليون دولار من خزينة المشروع.
وقعت السرقة عندما قام المطورون، الذين تم تعيينهم باستخدام هويات مزيفة، بحقن كود خبيث في النظام، مما سمح بنقل الأموال بشكل غير مصرح به.
ZachXBT يكشف عن مخطط Crypto Workers
وأوضح ZachXBT على X أن الأموال المسروقة تم إرسالها في البداية إلى عنوان سرقة وتم ربطها من Solana إلى Ethereum من خلال منصة deBridge. تم إيداع الأموال، 50.2 ETH، في Tornado Cash، وهو خلاط تشفير يحجب مسارات المعاملات. بعد ذلك، تم تحويل 16.5 ETH إلى بورصتين.
1/ مؤخرًا تواصل معي فريق للحصول على المساعدة بعد سرقة 1.3 مليون دولار من الخزانة بعد نشر تعليمات برمجية خبيثة.
دون علم الفريق، قاموا بتعيين العديد من العاملين في مجال تكنولوجيا المعلومات من جمهورية كوريا الديمقراطية الشعبية كمطورين وكانوا يستخدمون هويات مزيفة.
ثم اكتشفت أكثر من 25 مشروعًا للعملات المشفرة مع… pic.twitter.com/W7SgY97Rd8
— ZachXBT (@zachxbt) ١٥ أغسطس ٢٠٢٤
وفقًا لـ ZachXBT، منذ يونيو 2024، تسلل عمال تكنولوجيا المعلومات من كوريا الشمالية إلى أكثر من 25 مشروعًا للعملات المشفرة باستخدام عناوين دفع متعددة. وأشار إلى أنه قد يكون هناك كيان واحد في آسيا، من المحتمل أن يكون مقره في كوريا الشمالية، يتلقى ما بين 300 ألف دولار إلى 500 ألف دولار شهريًا بينما يوظف ما لا يقل عن 21 عاملًا في مشاريع تشفير مختلفة.
وأشار تحليل آخر إلى أنه قبل هذه القضية، تم تحويل 5.5 مليون دولار إلى عنوان إيداع في البورصة مرتبط بمدفوعات قدمت إلى عمال تكنولوجيا المعلومات في كوريا الشمالية من يوليو 2023 إلى يوليو 2024. وكانت هذه المدفوعات مرتبطة بـ Sim Hyon Sop، وهو فرد فرضت عليه مكتب مراقبة الأصول الأجنبية الأمريكي عقوبات.
بحث تحقيق ZachXBT بشكل أعمق في العديد من الأخطاء والأنماط غير العادية التي ارتكبها الجهات الخبيثة. كانت هناك تداخلات في عناوين IP بين المطورين الذين يُزعم أنهم مقيمون في الولايات المتحدة وماليزيا وتسريبات عرضية لهويات بديلة أثناء الجلسات المسجلة.
بعد الحادث، اتصل ZackXBT بالمشاريع المتضررة ونصحها بمراجعة سجلاتها وإجراء فحوصات خلفية أكثر كثافة. كما لاحظ العديد من العلامات الحمراء التي يمكن للفرق مراقبتها، مثل الإحالات إلى أدوار من مطورين آخرين، وعدم اتساق تاريخ العمل، والسير الذاتية المصقولة للغاية أو ملفات تعريف GitHub.
ارتفاع جرائم الإنترنت في كوريا الشمالية
وفي الوقت نفسه، ارتبطت الجماعات المرتبطة بكوريا الشمالية منذ فترة طويلة بالجرائم الإلكترونية. وكثيراً ما تتضمن تكتيكاتها مخططات التصيد الاحتيالي، واستغلال نقاط الضعف في البرامج، والوصول غير المصرح به إلى النظام، وسرقة المفاتيح الخاصة، وحتى التسلل إلى المنظمات شخصياً.
يُزعم أن إحدى منظماتها الأكثر شهرة، مجموعة Lazarus، سرقت أكثر من 3 مليارات دولار من الأصول المشفرة في الفترة من 2017 إلى 2023.
في عام 2022، حذرت الحكومة الأمريكية من العدد المتزايد من العمال الكوريين الشماليين الذين يتولون أدوارًا تقنية مستقلة، وخاصة أولئك في قطاع التشفير.