يستخدم قراصنة كوريا الشمالية الآن طريقة قائمة على البلوكتشين تُعرف باسم EtherHiding لتوصيل البرامج الضارة لتسهيل عمليات سرقة الكريبتو. وفقًا للخبراء، تم اكتشاف قرصان كوري شمالي يستخدم هذه الطريقة، حيث يقوم المهاجمون بتضمين أكواد مثل JavaScript Payloads داخل العقد الذكي القائم على البلوكتشين.
باستخدام هذه الطريقة، يحول القراصنة دفتر الأستاذ الموزع إلى نظام قيادة وتحكم (C2) مرن. وفقًا لمنشور مدونة نشرته مجموعة Google للاستخبارات التهديدية (GTIG)، هذه هي المرة الأولى التي تلاحظ فيها جهة فاعلة بهذا الحجم تستخدم هذه الطريقة. وادعت أن استخدام EtherHiding مناسب في مواجهة جهود الإزالة والحظر التقليدية. وذكرت مجموعة استخبارات التهديدات أنها تتعقب الجهة الفاعلة المهددة UNC5342 منذ فبراير 2025، مع دمج EtherHiding في حملة هندسة اجتماعية مستمرة.
قراصنة كوريا الشمالية يتحولون إلى EtherHiding
ذكرت Google أنها ربطت استخدام EtherHiding بحملة هندسة اجتماعية تتبعتها شبكات Palo Alto باسم المقابلة المعدية. تم تنفيذ المقابلة المعدية من قبل جهات فاعلة كورية شمالية. وفقًا لباحثي Socket، وسعت المجموعة عملياتها بمحمل برامج ضارة جديد، XORIndex. تراكمت آلاف التنزيلات للمحمل، مع استهداف الباحثين عن وظائف والأفراد الذين يُعتقد أنهم يمتلكون أصولًا رقمية أو بيانات اعتماد حساسة.
في هذه الحملة، يستخدم قراصنة كوريا الشمالية برامج JADESNOW الضارة لتوزيع نسخة JavaScript من INVISIBLEFERRET، والتي تم استخدامها لتنفيذ العديد من عمليات سرقة العملات المشفرة. تستهدف الحملة المطورين في صناعات الكريبتو والتكنولوجيا، وسرقة البيانات الحساسة، والأصول الرقمية، والوصول إلى شبكات الشركات. كما أنها تتمحور حول تكتيك الهندسة الاجتماعية الذي ينسخ عمليات التوظيف الشرعية باستخدام مجندين مزيفين وشركات مختلقة.
يتم استخدام المجندين المزيفين لاستدراج المرشحين إلى منصات مثل Telegram أو Discord. بعد ذلك، يتم توصيل البرامج الضارة إلى أنظمتهم وأجهزتهم من خلال اختبارات ترميز مزيفة أو تنزيلات برامج متنكرة كتقييمات فنية أو إصلاحات للمقابلات. تستخدم الحملة عملية عدوى برمجيات ضارة متعددة المراحل، والتي تتضمن عادة برامج ضارة مثل JADESNOW وINVISIBLEFERRET وBEAVERTAIL، لاختراق أجهزة الضحية. تؤثر البرامج الضارة على أنظمة Windows وLinux وmacOS.
الباحثون يفصلون سلبيات EtherHiding
توفر EtherHiding ميزة أفضل للمهاجمين، حيث تلاحظ GTIG أنها تعمل كتهديد صعب بشكل خاص للتخفيف. أحد العناصر الأساسية المثيرة للقلق في EtherHiding هو أنها لامركزية بطبيعتها. هذا يعني أنها مخزنة على بلوكتشين لامركزي وبدون إذن، مما يجعل من الصعب على جهات إنفاذ القانون أو شركات الأمن السيبراني إسقاطها لأنها لا تحتوي على خادم مركزي. كما أن هوية المهاجم يصعب تتبعها بسبب الطبيعة المستعارة لمعاملات البلوكتشين.
من الصعب أيضًا إزالة الكود الضار في العقود الذكية المنشورة على البلوكتشين إذا لم تكن مالك العقد. يمكن للمهاجم المسيطر على العقد الذكي، في هذه الحالة قراصنة كوريا الشمالية، أيضًا اختيار تحديث الحمولة الضارة في أي وقت. بينما قد يحاول باحثو الأمان تحذير المجتمع حول عقد ضار من خلال وضع علامة عليه، فإن ذلك لا يمنع القراصنة من تنفيذ أنشطتهم الضارة باستخدام العقد الذكي.
بالإضافة إلى ذلك، يمكن للمهاجمين استرداد حمولتهم الضارة باستخدام مكالمات للقراءة فقط لا تترك سجل معاملات مرئي على البلوكتشين، مما يجعل من الصعب على الباحثين تتبع أنشطتهم على البلوكتشين. وفقًا لتقرير أبحاث التهديدات، تمثل EtherHiding "تحولًا نحو استضافة الجيل التالي المضادة للرصاص" حيث يتم استخدام أكثر ميزات تقنية البلوكتشين وضوحًا من قبل المحتالين لأغراض ضارة.
انضم إلى مجتمع تداول الكريبتو المميز مجانًا لمدة 30 يومًا - عادة 100 دولار/شهر.
المصدر: https://www.cryptopolitan.com/north-korean-hackers-crypto-stealing-malware/
