ديفيد إدواردز
شنّت مجموعة تجسس إلكتروني متحالفة مع كوريا الشمالية موجة جديدة من الهجمات المُستهدفة على خبراء العملات المشفرة، مستخدمةً برمجيات خبيثة مُصممة لسرقة بيانات اعتماد حساسة من المحافظ الرقمية وبرامج إدارة كلمات المرور. ونُسبت هذه الحملة إلى "فاموس تشوليما"، المعروفة أيضًا باسم "واجيمول"، وهي جهة تهديد مرتبطة سابقًا بكوريا الشمالية، وفقًا لتقرير صادر عن شركة سيسكو تالوس صدر يوم الأربعاء.
يستخدم الهجوم حصان طروادة للوصول عن بُعد (RAT) قائم على لغة بايثون يُدعى PylangGhost، والذي حدده الباحثون كنسخة مُشتقة من GolangGhost RAT السابق. يمنح هذا البرنامج الخبيث المهاجمين تحكمًا كاملاً عن بُعد في الأنظمة المُصابة، مما يُمكّنهم من سرقة ملفات تعريف الارتباط وبيانات اعتماد المتصفح والبيانات الحساسة من أكثر من 80 امتدادًا للمتصفح. تشمل الأهداف تطبيقات محافظ العملات المشفرة مثل MetaMask وPhantom وTronLink وMultiverseX، بالإضافة إلى برامج إدارة كلمات المرور مثل 1Password وNordPass.
يبدو أن الحملة تركز بشكل أساسي على المهنيين الهنود ذوي الخبرة في مجال تقنية البلوك تشين والعملات المشفرة. يتم استقطاب الضحايا عبر إعلانات وظائف وهمية على مواقع إلكترونية مزيفة تنتحل هويات شركات مثل كوين بيس وروبن هود ويوني سواب. بمجرد التواصل الأولي، ينتحل المهاجمون صفة جهات توظيف ويوجهون الضحايا إلى منصات وهمية لاختبار المهارات.
خلال المقابلات المُعدّة، يُخدع الضحايا لتمكين الوصول إلى الكاميرا وتنفيذ أوامر طرفية تحت ستار تحديث برامج تشغيل الفيديو، وهي خطوات تُثبّت الحمولة الخبيثة دون علمهم. تتجاوز قدرات البرنامج الخبيث سرقة البيانات، لتشمل إدارة الملفات، والتقاط لقطات الشاشة، واستطلاع النظام، والوصول المستمر عن بُعد.
وأشار باحثو شركة Cisco Talos إلى أنه على الرغم من تعقيد البرمجيات الخبيثة، فلا يوجد دليل على أن نماذج لغوية كبيرة أو أدوات الذكاء الاصطناعي كانت مشاركة في كتابة الكود الخاص بها.
أصبح هذا النوع من الهندسة الاجتماعية - الذي يستغل الطموحات المهنية في قطاع العملات المشفرة - سمةً مميزةً للعمليات السيبرانية المرتبطة بكوريا الشمالية. في أبريل، استُخدم نفس التكتيك لاستهداف المطورين المرتبطين باختراق شركة بايبت بقيمة 1.4 مليار دولار، وذلك من خلال اختبارات توظيف مُصابة ببرامج ضارة.
