قراصنة كوريا الشمالية يستهدفون أكثر من 3100 عنوان IP عبر عمليات احتيال وظائف في قطاعات الذكاء الاصطناعي والتمويل الرقمي
بعد سرقة أكثر من 2 مليار دولار من سوق العملات الرقمية في عام 2025، عاد قراصنة كوريا الشمالية بحملة توظيف وهمية تنفذها مجموعة تُعرف باسم “PurpleBravo”.
هجوم إلكتروني جديد يستهدف قطاع العملات المشفرة
أطلق قراصنة مرتبطون بكوريا الشمالية هجوماً إلكترونياً تجسسياً يستهدف أكثر من 3100 عنوان إنترنت خاص بشركات تعمل في مجالات الذكاء الاصطناعي والعملات الرقمية والخدمات المالية، وذلك وفقاً لتقرير جديد من مجموعة “Insikt Group” للأبحاث الأمنية.
تم رصد مجموعة PurpleBravo وهي تستخدم عمليات توظيف وهمية وأدوات مطورين تحتوي على برامج ضارة. وحتى الآن، تم تحديد 20 مؤسسة ضحية من جنوب آسيا وأمريكا الشمالية وأوروبا والشرق الأوسط وأمريكا الوسطى.
كيف تعمل حملة “المقابلة المعدية”؟
تتميز حملة “المقابلة المعدية” كما أوضحت مجموعة Insikt، بأن المخترقين يتظاهرون بأنهم مسؤولو توظيف أو مطورون ويقتربون من الباحثين عن عمل بعروض لإجراء تمارين مقابلات تقنية. وتم استهداف 3136 عنوان IP على الأقل خلال فترة المراقبة.
يقدم المهاجمون أنفسهم كممثلين لشركات تقنية وعملات رقمية، ويطلبون من المرشحين مراجعة أكواد برمجية أو استنساخ مشاريع أو إكمال مهام برمجية.
وكتبت مجموعة التهديدات في تقريرها: “في حالات عدة، من المحتمل أن المرشحين الباحثين عن عمل قاموا بتنفيذ أكواد ضارة على أجهزة مؤسساتهم، مما خلق خطراً يتجاوز الفرد المستهدف ليصل إلى المؤسسة بأكملها”.
أساليب الخداع: هويات وهمية وقصص تغطية
رصدت مجموعة Insikt أربع شخصيات وهمية على الإنترنت مرتبطة بـ PurpleBravo، بعد تحقيق في مستودعات GitHub الضارة ومناقشات على وسائل التواصل الاجتماعي حول عمليات احتيال العملات الرقمية.
وفقاً للتقرير، قدمت هذه الملفات الشخصية نفسها باستمرار على أنها مقيمة في أوديسا بأوكرانيا، بينما كانت تستهدف الباحثين عن عمل من جنوب آسيا. ولم تستطع المجموعة تحديد سبب استخدام هويات أوكرانية في هذه الخدعة.
في أحد البرامج الوهمية، استخدم المخترقون موقعاً إلكترونياً للإعلان عن عملة رقمية مرتبطة بعلامة تجارية للطعام. لكن الباحثين لم يتمكنوا من إثبات وجود صلة حقيقية بين العملة والشركة التي تمت الإشارة إليها. كما امتلأت القناة الرسمية للمشروع على Telegram بمحتالين وروبوتات آلية وروابط ضارة.
برامج ضارة متطورة وسرقة البيانات
تضمنت العملية أيضاً نوعين من برامج الاختراق عن بعد، هما PylangGhost و GolangGhost. وهذه العائلات من البرامج الضارة هي أدوات متعددة المنصات تتشارك أوامر متطابقة وتقوم بأتمتة سرقة بيانات الاعتماد وملفات تعريف الارتباط من المتصفحات.
يعمل GolangGhost على عدة أنظمة تشغيل، بينما يعمل PylangGhost فقط على أنظمة Windows ويمكنه تجاوز حماية بيانات الاعتماد في متصفح Chrome للإصدار 127 وما بعده.
استغلال منصات العمل والتواصل الاجتماعي
وجدت مجموعة Insikt قنوات على Telegram تعلن عن بيع حسابات LinkedIn و Upwork، حيث يستخدم البائعون خدمات وهمية وخوادم خاصة افتراضية لإخفاء مواقعهم. كما شوهد المشغل يتفاعل مع منصة تداول العملات الرقمية MEXC.
ثغرات أمنية في أدوات المطورين
أبلغت “Jamf Threat Labs” أن جهات مرتبطة بكوريا الشمالية طورت نسخة ضارة من Microsoft Visual Studio Code يمكنها إنشاء ثغرات خلفية في الأنظمة. تم تحديد هذه التكتيكات لأول مرة في ديسمبر 2025 وتم تحسينها منذ ذلك الحين.
وفقاً للباحث الأمني Thijs Xhaflaire، يمكن للمهاجمين زرع برامج ضارة تسمح بتنفيذ الأوامر عن بُعد على الأجهزة. تبدأ سلسلة العدوى عندما يستنسخ الهدف مستودع Git ضاراً ويفتحه في VS Code.
وكتب الباحث: “عند فتح المشروع، يطالب Visual Studio Code المستخدم بالثقة في مؤلف المستودع. إذا تم منح هذه الثقة، تقوم التطبيقات تلقائياً بمعالجة ملف التكوين tasks.json الخاص بالمستودع، مما قد يؤدي إلى تنفيذ أوامر عشوائية مدمجة على النظام”.
الأسئلة الشائعة
من هم قراصنة PurpleBravo؟
هم مجموعة قرصنة مرتبطة بكوريا الشمالية، تشن هجمات إلكترونية عبر حملات توظيف وهمية لسرقة الأموال والبيانات من شركات العملات الرقمية والتقنية.
كيف يخدع القراصنة ضحاياهم؟
يتظاهرون بأنهم مسؤولو توظيف أو مطورون في شركات تقنية وعملات رقمية، ويطلبون من الباحثين عن عمل إكمال مهام برمجية تحتوي على برامج ضارة.
كيف تحمي نفسك من هذه الهجمات؟
تحقق جيداً من عروض العمل غير المتوقعة، ولا تثق فورياً بالمستودعات البرمجية غير المعروفة، وقم بتحديث برامج الحماية على جهازك، وتجنب فتح ملفات أو روابط من مصادر مشبوهة.
