هکرهای کره شمالی با راه‌اندازی شرکت‌های صوری به کلاهبرداری از توسعه‌دهندگان ارز دیجیتال می‌پردازند

هکرهای کره شمالی با استفاده از شرکت‌های پوششی به دنبال کلاهبرداری از توسعه‌دهندگان ارزهای دیجیتال

تحلیلگران Silent Push در گزارشی اعلام کردند که هکرها با استفاده از آگهی‌های شغلی در GitHub و وب‌سایت‌های فریلنسر به دنبال قربانیان خود هستند.

مالورهای جدید در صحنه

مالور BeaverTail به‌طور خاص برای سرقت اطلاعات طراحی شده است و می‌تواند مراحل بعدی مالور را بارگذاری کند. در حالی که OtterCookie و InvisibleFerret عمدتاً به دنبال اطلاعات حساس مانند کلیدهای کیف پول ارز دیجیتال و داده‌های کلیپبورد هستند.

شرکت‌های پوششی و روش‌های فریبنده

سه نوع مالور — BeaverTail، InvisibleFerret و OtterCookie — طبق گزارش Silent Push در حال استفاده هستند. در فرآیند درخواست شغل، پیامی خطا نمایش داده می‌شود که کاربر را به سمت یک ترفند ساده که منجر به بارگذاری مالور می‌شود، هدایت می‌کند.

این هکرها از وب‌سایت‌های مختلف و شبکه‌ای وسیع از حساب‌ها در وب‌سایت‌های استخدام برای فریب مردم به درخواست شغل استفاده می‌کنند.

سازمان‌های جعلی و هویت‌های ساختگی

زاک ادواردز، تحلیلگر ارشد تهدید در Silent Push، در بیانیه‌ای در تاریخ 24 آوریل گفت که دو شرکت پوششی به‌عنوان کسب‌وکارهای قانونی در ایالات متحده ثبت شده‌اند. این سه شرکت مشاوره ارز دیجیتال جعلی — BlockNovas، Angeloper Agency و SoftGlide — توسط گروه هکرهای کره شمالی به نام Contagious Interview برای توزیع مالور از طریق مصاحبه‌های شغلی ساختگی استفاده می‌شود.

یک زیرگروه از سازمان هکری مرتبط با کره شمالی، یعنی Lazarus، این سه شرکت پوششی را راه‌اندازی کرده‌اند تا مالور را به کاربران بی‌خبر تحویل دهند.

استفاده از هوش مصنوعی برای ایجاد هویت‌های جعلی

این نقشه همچنین شامل استفاده از تصاویر تولید شده توسط هوش مصنوعی برای ایجاد پروفایل‌های جعلی از کارمندان این سه شرکت است و هکرها تصاویر واقعی افراد را سرقت می‌کنند.

“تعداد زیادی از کارمندان جعلی و تصاویر دزدیده شده از افراد واقعی در این شبکه استفاده می‌شود. ما برخی از نمونه‌های مشهود از این فریب‌ها و تصاویر دزدیده شده را مستند کرده‌ایم، اما مهم است که به تفاوت‌های تلاش‌های جعل در این کمپین توجه شود.”

“در یکی از نمونه‌ها، مهاجمان از یک عکس واقعی از یک فرد واقعی استفاده کردند و سپس به‌نظر می‌رسد که آن را از طریق یک ابزار تغییر تصویر هوش مصنوعی پردازش کرده‌اند تا نسخه‌ای کمی متفاوت از آن تصویر ایجاد کنند.”

تجربه‌های واقعی قربانیان

این کمپین مالوری از سال 2024 در حال اجرا است و ادواردز می‌گوید که قربانیان عمومی شناخته‌شده‌ای وجود دارند. Silent Push دو توسعه‌دهنده را شناسایی کرده است که هدف این کمپین قرار گرفته‌اند؛ یکی از آن‌ها به‌طور گزارش شده‌ای کیف پول MetaMask خود را از دست داده است.

اف‌بی‌آی پس از آن حداقل یکی از این شرکت‌ها را تعطیل کرده است.

“اداره فدرال تحقیقات (اف‌بی‌آی) دامنه Blocknovas را تصاحب کرد، اما Softglide همچنان فعال است و برخی از زیرساخت‌های دیگر آن‌ها نیز وجود دارد.”

تهدیدات سایبری و اقدامات پیشگیرانه

در ماه مارس، حداقل سه بنیان‌گذار ارز دیجیتال گزارش دادند که تلاش‌های هکرهای احتمالی کره شمالی را برای سرقت داده‌های حساس از طریق تماس‌های جعلی Zoom ناکام کرده‌اند.

گروه‌هایی مانند Lazarus Group به‌عنوان مظنونان اصلی در برخی از بزرگ‌ترین سرقت‌های سایبری در وب3، از جمله هک 1.4 میلیارد دلاری Bybit و هک 600 میلیون دلاری شبکه Ronin شناخته می‌شوند.

چشم‌انداز آینده امنیت سایبری

با توجه به پیشرفت‌های فناوری و روش‌های فریبنده‌ای که هکرها به کار می‌برند، به نظر می‌رسد که نیاز به آگاهی و آموزش در زمینه امنیت سایبری برای توسعه‌دهندگان و کاربران ارزهای دیجیتال بیش از پیش احساس می‌شود. این موضوع می‌تواند به جلوگیری از سرقت‌های بیشتری در آینده کمک کند.