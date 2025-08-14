تام شمس - الخميس 14 أغسطس 2025 09:41 مساءً - كشف فريق صغير من عمّال تكنولوجيا المعلومات الكوريين الشماليين المرتبطين باختراق عملات مشفرة بقيمة 680 ألف دولار في يونيو عن استخدامهم لمنتجات جوجل وحتى استئجار أجهزة كمبيوتر لاختراق مشاريع العملات المشفرة، وفقاً لصور شاشة تم الحصول عليها من أحد أجهزة هؤلاء العمال.

في منشور على منصة X يوم الأربعاء، شارك المحقق في قضايا التشفير ZachXBT نظرة نادرة على أنشطة أحد المخترقين الكوريين الشماليين (DPRK)، موضحاً أن المعلومات جاءت من "مصدر مجهول" تمكن من اختراق أحد أجهزتهم.

يرتبط هؤلاء العاملون بعملية اختراق تبادل العملات المشفرة Bitbit في فبراير، والتي بلغت خسائرها 1.4 مليار دولار، إلى جانب سرقة ملايين الدولارات من بروتوكولات تشفير مختلفة على مر السنوات.

تشير البيانات إلى أن الفريق الصغير المكوّن من ستة عمّال يملك ما لا يقل عن 31 هوية مزيفة، تشمل بطاقات هوية حكومية وأرقام هواتف، بالإضافة إلى شراء حسابات على LinkedIn وUpWork لإخفاء هويتهم الحقيقية والحصول على وظائف في قطاع العملات المشفرة.

إحدى الصور تُظهر أن أحدهم أجرى مقابلة عمل لوظيفة مهندس برمجيات متكامل (Full-stack) في Polygon Labs، بينما أظهرت أدلة أخرى نصوصاً جاهزة لمقابلات يدّعون فيها خبرة سابقة في سوق الـNFT OpenSea ومزوّد بيانات البلوكشين Chainlink.

قائمة هويات مزيفة مرتبطة بعملية الاحتيال التي ينفذها فريق تكنولوجيا المعلومات الكوري الشمالي. المصدر: ZachXBT

جوجل وبرامج العمل عن بُعد

تُظهر الوثائق المسرّبة أن هؤلاء العمّال حصلوا على وظائف كـ"مطوّري بلوكشين" و"مهندسي عقود ذكية" على منصات العمل الحر مثل UpWork، ثم استخدموا برامج الوصول عن بُعد مثل AnyDesk لأداء العمل نيابة عن أصحاب العمل غير الواعين بحقيقتهم. كما استخدموا شبكات VPN لإخفاء مواقعهم الجغرافية.

تكشف سجلات Google Drive وملفات تعريف Chrome أنهم اعتمدوا على أدوات جوجل لإدارة الجداول الزمنية والمهام والميزانيات، وتواصلوا باللغة الإنجليزية مع الاستعانة بأداة الترجمة من الكورية إلى الإنجليزية من جوجل.

أحد جداول البيانات أظهر أن الفريق أنفق ما مجموعه 1,489.8 دولار أمريكي في مايو على مصاريف تشغيل عملياتهم.

ملاحظات/تحضيرات للمقابلة، يُرجَّح أن تكون مرجعًا لها أثناء المقابلة. المصدر: ZachXBT

ارتباط باختراق بقيمة 680 ألف دولار

غالباً ما يستخدم هؤلاء العمال خدمة Payoneer لتحويل العملات الورقية إلى عملات مشفرة، وأحد عناوين محافظهم "0x78e1a" مرتبط ارتباطاً وثيقاً باختراق منصة رموز المعجبين Favrr في يونيو 2025.

في ذلك الوقت، اتهم ZachXBT كبير مسؤولي التكنولوجيا في المشروع، المعروف باسم "Alex Hong"، وعدداً من المطورين الآخرين، بأنهم في الحقيقة عمّال كوريون شماليون متنكرون.

شركات التشفير بحاجة لمزيد من التدقيق

دعا ZachXBT شركات التشفير والتكنولوجيا إلى بذل مزيد من الجهد في التحقق من خلفيات الموظفين المحتملين، مشيراً إلى أن العديد من هذه العمليات ليست متطورة للغاية، لكن كثرة طلبات التوظيف تؤدي إلى تراخي فرق التوظيف.

وأضاف أن غياب التعاون بين شركات التكنولوجيا ومنصات العمل الحر يزيد من تفاقم المشكلة.

وفي الشهر الماضي، اتخذت وزارة الخزانة الأمريكية إجراءات مباشرة بفرض عقوبات على شخصين وأربع جهات مرتبطة بشبكة عمّال تكنولوجيا معلومات تديرها كوريا الشمالية بهدف التغلغل في شركات التشفير.