كشفت التحقيقات التي أجراها blockchain sleuth Zachxbt الشهيرة في تسلل كوريا الشمالية الواسعة في سوق العمل العالمي لتطوير العملة المشفرة.
قام المصدر الذي لم يكشف عن اسمه مؤخرًا بطرح جهاز ينتمي إلى عامل تكنولوجيا المعلومات في DPRK وقدم نظرة ثاقبة غير مسبوقة حول كيفية تشغيل فريق صغير من خمسة عمال في تكنولوجيا المعلومات على 30 هوية مزيفة.
عملاء DPRK Flood Crypto Market
وفقًا لتغريدات ZachxBT ، قيل إن فريق DPRK قد استخدم معرفات صادرة من الحكومة لتسجيل الحسابات على Upwork و LinkedIn ، للحصول على أدوار المطورين في مشاريع متعددة. وجد الباحثون تصديرًا من Google Drive للعمال ، وملامح Chrome ، ولقطات الشاشة ، والتي كشفت أن منتجات Google كانت أساسية في تنظيم الجداول الزمنية والمهام والميزانيات ، مع الاتصالات التي أجريت بشكل أساسي باللغة الإنجليزية.
من بين الوثائق جدول بيانات 2025 يحتوي على تقارير أسبوعية من أعضاء الفريق ، والتي تسلط الضوء على عملياتهم الداخلية وعقليةهم. تضمنت الإدخالات النموذجية بيانات مثل “لا أستطيع أن أفهم متطلبات الوظيفة ، ولا أعرف ما الذي يجب علي فعله” ، مع ملاحظات موجهة ذاتيًا مثل “الحل / الإصلاح: بذل جهودًا كافية في القلب”.
يتتبع آخر نفقات جدول البيانات ، ويظهر مشتريات أرقام الضمان الاجتماعي ، وحسابات Upwork و LinkedIn ، وأرقام الهواتف ، واشتراكات الذكاء الاصطناعي ، وتأجير الكمبيوتر ، وخدمات VPN أو Proxy. كما تم استرداد جداول الاجتماعات والبرامج النصية للهويات المزيفة ، بما في ذلك واحدة تحت اسم “هنري تشانغ”.
وبحسب ما ورد ، تضمنت الأساليب التشغيلية للفريق شراء أو استئجار أجهزة الكمبيوتر ، وذلك باستخدام AnyDesk لأداء العمل عن بُعد ، وتحويل Fiat المكتسب إلى عملة مشفرة عبر PayOneer. يتم ربط عنوان محفظة واحدة ، 0x78E1 ، المرتبطة بالمجموعة على السلسلة إلى 680،000 دولار في FAVRR في يونيو 2025 ، حيث تم تحديد CTO للمشروع والمطورين الآخرين لاحقًا على أنهم عمال تكنولوجيا المعلومات في DPRK يستخدمون المستندات الاحتيالية. تم توصيل العمال الإضافيين المرتبطين بـ DPRK بالمشاريع عبر عنوان 0x78E1.
تتضمن مؤشرات أصل كوريا الشمالية الاستخدام المتكرر لترجمة Google للتفتيش باللغة الكورية التي أجريت من عناوين IP الروسية. قال Zachxbt أن عمال تكنولوجيا المعلومات هؤلاء ليسوا متطورين بشكل خاص ، لكن ثباتهم يعزز العدد الهائل من الأدوار التي يستهدفونها في جميع أنحاء العالم.
تشمل التحديات في مواجهة هذه العمليات التعاون الضعيف بين الشركات والخدمات الخاصة ، وكذلك المقاومة من الفرق التي يتم الإبلاغ عن النشاط الاحتيالي.
تهديد كوريا الشمالية المستمرة
يواصل المتسللون الكوريون الشماليون ، ولا سيما مجموعة لازاروس ، تهديدًا كبيرًا لهذه الصناعة. في فبراير 2025 ، قامت المجموعة بتنظيم أكبر اختراق للتبادل للتشفير في التاريخ ، حيث سرقت حوالي 1.5 مليار دولار من Ethereum من Bybit ومقرها دبي.
استغل الهجوم نقاط الضعف في مزود محفظة من طرف ثالث ، Safe {Wallet} ، والذي سمح للمتسللين بتجاوز التدابير الأمنية متعددة التوقيع وأموال السيفون في محافظ متعددة. عزا مكتب التحقيقات الفيدرالي خرق عملاء كوريا الشمالية ، ووصفه بأنه “TraderTraitor”.
بعد ذلك ، في يوليو 2025 ، وقعت شركة Coindcx ، وهي بورصة عملات تشفير هندية ، ضحية لسرقة بقيمة 44 مليون دولار ، والتي كانت مرتبطة أيضًا بمجموعة لازاروس. تسلل المهاجمون إلى البنية التحتية للسيولة في Coindcx ، واستغلوا بيانات الاعتماد الداخلية المكشوفة لتنفيذ السرقة.