امن وحماية المعلومات

قراصنة كوريا الشمالية يستهدفون أنظمة macOS في أحدث حملة برمجيات خبيثة تستهدف شركات العملات الرقمية – تعرف على التفاصيل الآن!

صورة حكيم العملات حكيم العملات4 يوليو، 2025آخر تحديث: 4 يوليو، 2025
2 دقائق
قراصنة كوريا الشمالية يستهدفون أنظمة macOS في أحدث حملة برمجيات خبيثة تستهدف شركات العملات الرقمية - تعرف على التفاصيل الآن!

استهدف مجرمو الإنترنت من كوريا الشمالية شركات العملات الرقمية باستخدام نوع جديد من البرامج الضارة يستغل أجهزة آبل في هجوم متعدد المراحل. حذر باحثون في شركة الأمن السيبراني “Sentinel Labs” من هذه الحملة، التي تعتمد على الهندسة الاجتماعية وتقنيات متقدمة لاختراق أنظمة macOS.

كيف يعمل البرنامج الضار “NimDoor”؟

يُكتب البرنامج الضار، المسمى “NimDoor”، بلغة البرمجة غير الشائعة “Nim”، وهو قادر على تجنب أدوات مكافحة الفيروسات التقليدية. وفقًا لـ Sentinel Labs، يبدأ المهاجمون الاتصال عن طريق انتحال هويات أفراد موثوق بهم على منصات المراسلة مثل Telegram. يتم خداع الضحايا، الذين يبدو أنهم موظفون في شركات بلوكشين أو Web3، عبر روابط تصيد احتيالي لحضور اجتماعات Zoom وهمية، ويُطلب منهم تثبيت ما يبدو أنه تحديث عادي لـ Zoom SDK.

مراحل الهجوم وسرقة بيانات العملات الرقمية

عند التنفيذ، يقوم نص التحديث بتثبيت عدة مراحل من البرامج الضارة على جهاز Mac الخاص بالضحية. تشمل هذه المراحل:

مقالات ذات صلة
قراصنة كوريا الشمالية يستهدفون أنظمة macOS في أحدث حملة برمجيات خبيثة تستهدف شركات العملات الرقمية - تعرف على التفاصيل الآن!
  • إشارات تعتمد على AppleScript لمراقبة الضحية.
  • نصوص Bash لسرقة بيانات الاعتماد.
  • ملفات ثنائية مكتوبة بلغتي Nim وC++ لتنفيذ أوامر عن بُعد.

أحد هذه الملفات الثنائية، المسمى “CoreKitAgent”، يستخدم آلية استمرارية تعمل عند محاولة إغلاق البرنامج الضار، مما يسمح له بالبقاء نشطًا حتى بعد إعادة تشغيل النظام.

تُعد العملات الرقمية الهدف الرئيسي لهذا الهجوم، حيث يبحث البرنامج الضار عن بيانات الاعتماد المخزنة في المتصفحات والبيانات المتعلقة بالمحافظ الرقمية. كما ينفذ البرنامج نصوصًا مصممة لاستخراج المعلومات من متصفحات شهيرة مثل Chrome وBrave وEdge وFirefox، بالإضافة إلى مدير كلمات المرور “Keychain” الخاص بآبل. يستهدف مكون آخر قاعدة البيانات المشفرة لـ Telegram وملفات المفاتيح، مما قد يعرض عبارات استعادة المحافظ والمفاتيح الخاصة للخطر.

المجموعات الكورية الشمالية وراء الهجوم

أرجعت Sentinel Labs هذه الحملة إلى جهة تهديد مرتبطة بكوريا الشمالية، مستمرة في نمط الهجمات السيبرانية التي تستهدف العملات الرقمية. استهدفت مجموعات قرصنة مثل “Lazarus” شركات الأصول الرقمية لتحايل على العقوبات الدولية وتمويل العمليات الحكومية. سبق أن استخدمت هذه المجموعات برامج ضارة مكتوبة بلغتي Go وRust، لكن هذه الحملة تُعد من أولى الهجمات الكبرى باستخدام Nim ضد أنظمة macOS.

كما أبلغت crypto.news سابقًا، لاحظ الباحثون في أواخر 2023 حملة أخرى مرتبطة بكوريا الشمالية استخدمت برنامجًا ضارًا مكتوبًا بلغة Python يُعرف باسم “Kandykorn”. تم توزيعه عبر خوادم Discord على أنه بوت مراجحة للعملات الرقمية، واستهدف بشكل رئيسي مهندسي البلوكشين الذين يستخدمون macOS.

وحذرت Sentinel Labs من أن افتراضات الأمان التقليدية حول macOS لم تعد صالحة مع تزايد استخدام لغات برمجة غامضة وتقنيات متطورة من قبل جهات التهديد. في الأشهر الأخيرة، استهدفت عدة برامج ضارة مستخدمي آبل، بما في ذلك “SparkKitty” الذي سرق عبارات الاستعادة عبر معرض الصور في iOS، وحصان طروادة الذي استبدل تطبيقات المحافظ على macOS بإصدار ضار.

الأسئلة الشائعة

ما هو البرنامج الضار “NimDoor”؟

هو برنامج ضار يستهدف أجهزة macOS، مكتوب بلغة Nim، ويستخدم لسرقة بيانات العملات الرقمية عبر خداع الضحايا بتثبيت تحديثات وهمية.

كيف يحمي المستخدمون أنفسهم من هذه الهجمات؟

يجب توخي الحذر من الروابط غير الموثوقة، وتجنب تثبيت برامج غير معروفة، واستخدام أدوات أمنية متطورة للكشف عن البرامج الضارة.

لماذا تستهدف كوريا الشمالية شركات العملات الرقمية؟

تحاول كوريا الشمالية تجاوز العقوبات الدولية وتمويل عملياتها الحكومية من خلال سرقة الأصول الرقمية من الشركات والمستخدمين.

صورة حكيم العملات حكيم العملات4 يوليو، 2025آخر تحديث: 4 يوليو، 2025
2 دقائق
صورة حكيم العملات

حكيم العملات

خبير استراتيجي في سوق العملات الرقمية، يشارك بانتظام نصائح واستراتيجيات مستنيرة للتداول والاستثمار الناجح.
زر الذهاب إلى الأعلى