توماس دانيلز
في حملة تجسس إلكتروني متطورة، أنشأت مجموعة لازاروس الكورية الشمالية ثلاث شركات وهمية - BlockNovas LLC، وSoftGlide LLC، وAngeloper Agency - لتوزيع برمجيات خبيثة تستهدف مطوري العملات المشفرة. اثنتان من هذه الشركات، BlockNovas وSoftGlide، مسجلتان قانونيًا في الولايات المتحدة باستخدام وثائق مزورة، في انتهاك للعقوبات الدولية.
تتضمن الحملة، التي أطلق عليها محللو الأمن السيبراني في شركة سايلنت بوش اسم "المقابلة المُعدية"، إنشاء شركات استشارات مشفرة وهمية لجذب المطورين إلى مقابلات عمل احتيالية. خلال هذه المقابلات، يُطلب من المتقدمين تسجيل مقاطع فيديو تعريفية. وعند ظهور رسالة خطأ مُفعّلة عمدًا، يُمنحون "حلاً" يُنسخ ويلصق، يُثبّت برامج ضارة سرًا.
تُستخدم ثلاث سلالات مختلفة من البرامج الضارة: BeaverTail وInvisibleFerret وOtterCookie. تُمكّن BeaverTail بشكل أساسي من نشر المزيد من البرامج الضارة وسرقة المعلومات، بينما صُممت InvisibleFerret وOtterCookie لاستخراج البيانات الحساسة، بما في ذلك المفاتيح الخاصة ومحتوى الحافظة.
أكد زاك إدواردز، كبير محللي التهديدات في شركة سايلنت بوش، أن هذه العمليات تُشكل جزءًا من جهود كوريا الشمالية الأوسع نطاقًا لتحقيق إيرادات من خلال السرقة الإلكترونية، بزعم دعم برنامجها النووي. وقد اتخذ مكتب التحقيقات الفيدرالي (FBI) إجراءاتٍ بالاستيلاء على النطاق المرتبط بشركة BlockNovas، مع أن البنية التحتية الأخرى، بما في ذلك SoftGlide، لا تزال تعمل.
هذه العملية المستمرة، التي يعود تاريخها إلى عام ٢٠٢٤، أودت بحياة العديد من الضحايا المعروفين. أبلغ مطور واحد على الأقل عن اختراق محفظة MetaMask الخاصة به. في غضون ذلك، أحبط آخرون محاولات احتيال تتضمن مكالمات Zoom مزيفة، دبّرها محتالون ينتحلون صفة أصحاب عمل محتملين.
تظل مجموعة Lazarus المشتبه به الرئيسي وراء بعض أكبر عمليات السطو الإلكتروني في مجال Web3، بما في ذلك خرق شبكة Ronin بقيمة 600 مليون دولار وهجوم Bybit بقيمة 1.4 مليار دولار.
