کشف عملیات سایبری کرهشمالی در سرقت ۶۸۰ هزار دلار رمزارز
کشف عملیات سایبری کرهشمالی در حوزه رمزارزها با استفاده از شناسههای جعلی و ابزارهای عمومی برای سرقت ۶۸۰ هزار دلار
کشف عملیات سایبری کرهشمالی در حوزه رمزارزها با استفاده از ابزارهای عمومی و هویتهای جعلی برای سرقت ۶۸۰ هزار دلار، تأکید بر اهمیت امنیت در فضای دیجیتال.

یک دستگاه هکشده متعلق به یک کارمند فناوری اطلاعات کره شمالی، جزئیات داخلی تیم هکرهای مسئول حمله به پلتفرم Favrr به ارزش ۶۸۰ هزار دلار را فاش کرد. این هکرها از ابزارهای گوگل برای هدف قرار دادن پروژههای رمزارزی بهره میبردند.
بر اساس تحقیقات زاکاکسبیتی (ZachXBT)، این ماجرا از طریق یک منبع نامشخص آغاز شد که به یکی از کامپیوترهای اعضای تیم نفوذ کرده و اسکرینشاتها، خروجیهای گوگل درایو و پروفایلهای کروم آنها را کشف کرد. این مدارک، روند برنامهریزی و اجرای حملات را به وضوح نشان میداد.
با تحلیل فعالیتهای کیفپولها و تطابق اثر انگشتهای دیجیتال، زاکاکسبیتی صحت منابع را تایید و ارتباط فعالیتهای مالی هکرها با حمله به بازار توکنهای طرفدار (Fan-Token) Favrr در ژوئن ۲۰۲۵ را اثبات کرد. یکی از آدرسهای کیفپول، «۰x78e1a»، مستقیماً با وجوه سرقتشده در این حمله مرتبط است.
در جریان عملیات
گزارشهای فاش شده حاکی از آن است که دستگاه هکشده، نشان میدهد تیمی متشکل از شش عضو، حداقل ۳۱ هویت جعلی ساخته و به کار گرفته است. این گروه برای کسب فرصتهای شغلی در حوزه توسعه بلاکچین، اقدام به جمعآوری مدارک شناسایی صادر شده توسط دولت و شماره تلفنهای جعلی کردند و حتی حسابهای کاربری در پلتفرمهایی مانند لینکدین (LinkedIn) و آپورک (Upwork) خریداری کردند تا پوشش فعالیتهای خود را کاملتر نشان دهند.
در اسناد یافتشده در دستگاه، مصاحبهای ضبط شده بود که اعضا در آن ادعا میکردند سابقه همکاری با شرکتهای معتبر در حوزه بلاکچین، از جمله پالیگان لبز (Polygon Labs)، اوپنسی (OpenSea) و چینلینک (Chainlink) را دارند.
ابزارهای گوگل نقش کلیدی در فرآیندهای سازمانیافته این گروه داشتند. بررسیها نشان میدهد که آنان از جداول گوگل درایو برای پیگیری بودجه و برنامهریزی استفاده میکردند و گوگل ترنسلیت (Google Translate) برای رفع موانع زبانی بین کرهای و انگلیسی به کار رفته بود.
یکی از فایلهای مهم در این دستگاه، جدولی بود که نشان میداد اعضای تیم در حال اجاره کامپیوتر و پرداخت هزینههای VPN برای تهیه حسابهای جدید جهت عملیات خود بودند.
این گروه همچنین از ابزارهای دسترسی از راه دور مانند انیدسک (AnyDesk) بهره میبردند تا بتوانند کنترل سیستمهای مشتریان را بدون افشای مکان واقعی خود در اختیار داشته باشند. لاگهای VPN فعالیتهای آنان را به چندین منطقه جغرافیایی مرتبط میکرد که نشان میدهد آدرسهای IP کره شمالی در این فعالیتها نقش داشتند.
بررسیهای بیشتر نشان میدهد که این گروه در حال مطالعه راههایی برای توزیع توکنها در چندین بلاکچین، جستوجو برای شرکتهای فعال در حوزه هوش مصنوعی در اروپا و شناسایی اهداف جدید در بازار رمزارزها بودند.
فعالان تهدید کرهشمالی از فرصتهای شغلی از راه دور بهرهمند میشوند
زک ایکس بیتی (ZachXBT) گزارشی را منتشر کرد که نشان میدهد گروهی از هکرهای کرهشمالی با استفاده از روشهای مشابه، در چندین گزارش امنیت سایبری به عنوان کارمندان فریلنسر در حوزه رمزارز فعالیت میکنند. این افراد با ادعای انجام پروژههای توسعهدهنده مستقل، به منابع کد، سامانههای پشتیبانی و زیرساختهای کیف پول دیجیتال دسترسی پیدا میکنند.
در یکی از دستگاههای مورد بررسی، مستنداتی یافته شد که شامل یادداشتهای مصاحبه و مواد آمادگی برای تماسهای ویدیویی با کارفرمایان احتمالی است. این مدارک احتمالاً برای استفاده در حین مصاحبهها یا قرارگیری در کنار دستگاه، طراحی شده بودند. این شیوهها نشاندهنده تلاشهای مداوم کرهشمالی برای نفوذ و کسب اطلاعات در فضای رمزارز است.
منبع: کریپتو.نیوز