كشفت تحقيقات المحقق الشهير في مجال blockchain زاك إكس بي تي عن اختراق واسع النطاق لكوريا الشمالية في سوق وظائف تطوير العملات المشفرة العالمية.
كشف مصدر غير مسمى مؤخرًا عن جهاز يعود لعامل تكنولوجيا المعلومات في جمهورية كوريا الديمقراطية الشعبية، وقدم نظرة غير مسبوقة حول كيفية عمل فريق صغير مكون من خمسة عمال تكنولوجيا المعلومات تحت أكثر من 30 هوية مزيفة.
عملاء كوريا الشمالية يغمرون سوق وظائف التشفير
وفقًا لتغريدات ZachXBT، يُزعم أن فريق DPRK استخدم بطاقات الهوية الحكومية المسجلة للحصول على حسابات على Upwork و LinkedIn، للحصول على أدوار مطورين في مشاريع متعددة. اكتشف المحققون تصديرًا لمجلدات عمال Google Drive، وملفات تعريف Chrome، ولقطات شاشة، مما كشف أن منتجات Google كانت مركزية في تنظيم الجداول الزمنية، والمهام، والميزانيات، حيث كانت الاتصالات تُجرى بشكل أساسي باللغة الإنجليزية.
من بين الوثائق يوجد جدول بيانات لعام 2025 يحتوي على تقارير أسبوعية من أعضاء الفريق، والتي تسلط الضوء على عملياتهم الداخلية وعقليتهم. كانت الإدخالات النموذجية تتضمن بيانات مثل "لا أستطيع فهم متطلبات العمل، ولا أعرف ما يجب أن أفعله"، مع ملاحظات موجهة ذاتيًا مثل "الحل / الإصلاح: بذل جهود كافية بقلبي."
تتبع ورقة عمل أخرى النفقات، موضحة المشتريات من أرقام الضمان الاجتماعي، وحسابات Upwork وLinkedIn، وأرقام الهواتف، واشتراكات الذكاء الاصطناعي، وتأجير الكمبيوترات، وخدمات VPN أو البروكسي. تم استعادة جداول الاجتماعات والنصوص للهويات المزيفة، بما في ذلك واحدة تحت اسم "هنري تشانغ".
يُزعم أن أساليب التشغيل لفريق العمل تضمنت شراء أو استئجار أجهزة الكمبيوتر، واستخدام AnyDesk لأداء العمل عن بُعد، وتحويل الأموال المكتسبة من العملات الورقية إلى العملات المشفرة عبر Payoneer. عنوان المحفظة 0x78e1، المرتبط بالمجموعة، مرتبط على السلسلة بهجوم بقيمة 680,000 دولار في Favrr في يونيو 2025، حيث تم التعرف لاحقًا على CTO المشروع ومطورين آخرين كعمال تكنولوجيا معلومات من كوريا الشمالية يستخدمون وثائق مزورة. تم ربط عمال آخرين مرتبطين بكوريا الشمالية بمشاريع عبر عنوان 0x78e1.
تشمل مؤشرات أصلهم الكوري الشمالي الاستخدام المتكرر لجوجل ترانسليت في عمليات البحث باللغة الكورية التي تُجرى من عناوين IP روسية. قال زاك إكس بي تي إن هؤلاء العمال في مجال تكنولوجيا المعلومات ليسوا بارعين بشكل خاص، ولكن مثابرتهم مدعومة بعدد الأدوار التي يستهدفونها في جميع أنحاء العالم.
التحديات في مواجهة هذه العمليات تشمل ضعف التعاون بين الشركات الخاصة والخدمات، بالإضافة إلى مقاومة الفرق عندما يتم الإبلاغ عن الأنشطة الاحتيالية.
التهديد المستمر لكوريا الشمالية
يستمر القراصنة الكوريون الشماليون، وخاصة مجموعة لازاروس، في تشكيل تهديد كبير للصناعة. في فبراير 2025، قامت المجموعة بتنفيذ أكبر اختراق لتبادل العملات المشفرة في التاريخ، حيث سرقت حوالي 1.5 مليار دولار من الإيثيريوم من منصة بايبت التي تتخذ من دبي مقراً لها.
استغل الهجوم الثغرات في مزود محفظة طرف ثالث، Safe{Wallet}، مما سمح للقراصنة بتجاوز تدابير الأمان متعددة التوقيعات وسرقة الأموال إلى عدة محافظ. وقد نسبت مكتب التحقيقات الفيدرالي الاختراق إلى عملاء من كوريا الشمالية، ووصفتها بأنها "TraderTraitor".
لاحقًا، في يوليو 2025، كانت CoinDCX، وهي بورصة هندية للعملات المشفرة، ضحية لسرقة بقيمة 44 مليون دولار، والتي كانت مرتبطة أيضًا بمجموعة لازاروس. قام المهاجمون باختراق بنية السيولة الخاصة بـ CoinDCX، مستغلين الاعتمادات الداخلية المكشوفة لتنفيذ السرقة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
مستندات جوجل، أبورك، ولينكد إن: داخل عمليات العملات الرقمية السرية للعمال في مجال العملات الرقمية الكوريين الشماليين
كشفت تحقيقات المحقق الشهير في مجال blockchain زاك إكس بي تي عن اختراق واسع النطاق لكوريا الشمالية في سوق وظائف تطوير العملات المشفرة العالمية.
كشف مصدر غير مسمى مؤخرًا عن جهاز يعود لعامل تكنولوجيا المعلومات في جمهورية كوريا الديمقراطية الشعبية، وقدم نظرة غير مسبوقة حول كيفية عمل فريق صغير مكون من خمسة عمال تكنولوجيا المعلومات تحت أكثر من 30 هوية مزيفة.
عملاء كوريا الشمالية يغمرون سوق وظائف التشفير
وفقًا لتغريدات ZachXBT، يُزعم أن فريق DPRK استخدم بطاقات الهوية الحكومية المسجلة للحصول على حسابات على Upwork و LinkedIn، للحصول على أدوار مطورين في مشاريع متعددة. اكتشف المحققون تصديرًا لمجلدات عمال Google Drive، وملفات تعريف Chrome، ولقطات شاشة، مما كشف أن منتجات Google كانت مركزية في تنظيم الجداول الزمنية، والمهام، والميزانيات، حيث كانت الاتصالات تُجرى بشكل أساسي باللغة الإنجليزية.
من بين الوثائق يوجد جدول بيانات لعام 2025 يحتوي على تقارير أسبوعية من أعضاء الفريق، والتي تسلط الضوء على عملياتهم الداخلية وعقليتهم. كانت الإدخالات النموذجية تتضمن بيانات مثل "لا أستطيع فهم متطلبات العمل، ولا أعرف ما يجب أن أفعله"، مع ملاحظات موجهة ذاتيًا مثل "الحل / الإصلاح: بذل جهود كافية بقلبي."
تتبع ورقة عمل أخرى النفقات، موضحة المشتريات من أرقام الضمان الاجتماعي، وحسابات Upwork وLinkedIn، وأرقام الهواتف، واشتراكات الذكاء الاصطناعي، وتأجير الكمبيوترات، وخدمات VPN أو البروكسي. تم استعادة جداول الاجتماعات والنصوص للهويات المزيفة، بما في ذلك واحدة تحت اسم "هنري تشانغ".
يُزعم أن أساليب التشغيل لفريق العمل تضمنت شراء أو استئجار أجهزة الكمبيوتر، واستخدام AnyDesk لأداء العمل عن بُعد، وتحويل الأموال المكتسبة من العملات الورقية إلى العملات المشفرة عبر Payoneer. عنوان المحفظة 0x78e1، المرتبط بالمجموعة، مرتبط على السلسلة بهجوم بقيمة 680,000 دولار في Favrr في يونيو 2025، حيث تم التعرف لاحقًا على CTO المشروع ومطورين آخرين كعمال تكنولوجيا معلومات من كوريا الشمالية يستخدمون وثائق مزورة. تم ربط عمال آخرين مرتبطين بكوريا الشمالية بمشاريع عبر عنوان 0x78e1.
تشمل مؤشرات أصلهم الكوري الشمالي الاستخدام المتكرر لجوجل ترانسليت في عمليات البحث باللغة الكورية التي تُجرى من عناوين IP روسية. قال زاك إكس بي تي إن هؤلاء العمال في مجال تكنولوجيا المعلومات ليسوا بارعين بشكل خاص، ولكن مثابرتهم مدعومة بعدد الأدوار التي يستهدفونها في جميع أنحاء العالم.
التحديات في مواجهة هذه العمليات تشمل ضعف التعاون بين الشركات الخاصة والخدمات، بالإضافة إلى مقاومة الفرق عندما يتم الإبلاغ عن الأنشطة الاحتيالية.
التهديد المستمر لكوريا الشمالية
يستمر القراصنة الكوريون الشماليون، وخاصة مجموعة لازاروس، في تشكيل تهديد كبير للصناعة. في فبراير 2025، قامت المجموعة بتنفيذ أكبر اختراق لتبادل العملات المشفرة في التاريخ، حيث سرقت حوالي 1.5 مليار دولار من الإيثيريوم من منصة بايبت التي تتخذ من دبي مقراً لها.
استغل الهجوم الثغرات في مزود محفظة طرف ثالث، Safe{Wallet}، مما سمح للقراصنة بتجاوز تدابير الأمان متعددة التوقيعات وسرقة الأموال إلى عدة محافظ. وقد نسبت مكتب التحقيقات الفيدرالي الاختراق إلى عملاء من كوريا الشمالية، ووصفتها بأنها "TraderTraitor".
لاحقًا، في يوليو 2025، كانت CoinDCX، وهي بورصة هندية للعملات المشفرة، ضحية لسرقة بقيمة 44 مليون دولار، والتي كانت مرتبطة أيضًا بمجموعة لازاروس. قام المهاجمون باختراق بنية السيولة الخاصة بـ CoinDCX، مستغلين الاعتمادات الداخلية المكشوفة لتنفيذ السرقة.