الحمل البطيء للحوت يخدع مطوري الكريبتو بعروض وظائف مزيفة

تقوم مجموعة قرصنة كورية شمالية تُعرف باسم Slow Pisces بخداع مطوري العملات المشفرة لتشغيل الأكواد الخبيثة المتنكرة على شكل تحديات في طلبات العمل.

المجموعة، المعروفة أيضا بأسماء Jade Sleet أو TraderTraitor، سرقت أكثر من مليار دولار من الأصول الرقمية وما زالت تشن هجمات متطورة تهدف إلى توليد دخل لنظام كوريا الشمالية DPRK.

وفقًا للباحثين في مجال الأمن السيبراني في شبكات Palo Alto في وحدة 42 ، يتصل Slow Pisces بالمطورين على LinkedIn متظاهرين بأنهم مندوبو توظيف. بعد بدء المحادثة، يرسلون وصفاً وهمياً للوظيفة في ملف PDF. إذا قدم الضحية طلباً، يتم إرسال اختبار ترميز يتضمن “مشروع حقيقي” مستضاف على GitHub. هذا المشروع مليء بالبرمجيات الخبيثة.

هذه المشاريع الوهمية غالبًا ما تظهر كأنها شرعية وتسحب البيانات حتى من المواقع الحقيقية مثل ويكيبيديا. لكن مخفيًا بين المصادر هو موقع خبيث واحد يتحكم فيه القراصنة. يتم تنشيط البرمجيات الخبيثة فقط بعد تأكيد موقع الهدف وتفاصيل النظام، مما يتيح لـ Slow Pisces تجنب الكشف.

بدلاً من استخدام حيل الاختراق الواضحة التي يمكن لأنظمة الأمان اكتشافها بسهولة، استخدم المهاجمون طريقة أكثر خداعًا تُسمى “إلغاء تسلسل YAML”. في الأساس، يخفون الكود الخطير داخل ما يبدو وكأنه ملفات إعداد غير ضارة، مما يجعل اكتشافه أصعب.

بمجرد التثبيت، يعمل البرنامج الخبيث في الذاكرة ولا يترك أثراً على القرص الصلب. يقوم بتنزيل برامج ضارة إضافية، تُسمى RN Loader و RN Stealer. يجمع RN Loader البيانات الأساسية للنظام، بينما يجمع RN Stealer معلومات أكثر حساسية مثل أسماء المستخدمين، والتطبيقات المثبتة، ومحتويات الدليل، خاصة من أنظمة macOS.

أفادت شركة Palo Alto Networks بوجود حسابات خبيثة على LinkedIn و GitHub. وكلا المنصتين ردا على ذلك:

“قامت كل من GitHub و LinkedIn بإزالة هذه الحسابات الخبيثة لانتهاكها لشروط الخدمة المحددة لدينا […] نحن نستمر في تطوير وتحسين عملياتنا ونشجع عملائنا وأعضاءنا على الإبلاغ عن أي نشاط مشبوه.”

توصي خبراء الأمن بأن يظل المطورون حذرين من التحديات البرمجية غير المطلوبة وأن يتحققوا من عناوين URL المرتبطة بالاختبارات الوظيفية.