مرتبط بمنظمات قرصنة من كوريا الشمالية، شنّت هجمات إلكترونية واسعة النطاق عبر عمليات احتيال في مقابلات التوظيف وعمليات التوظيف التقنية، مستهدفة صناعة الذكاء الاصطناعي والعملات المشفرة والخدمات المالية، حيث تجاوز عدد عناوين IP المتأثرة 3,100، مما أدى إلى رفع مستوى الإنذار على مستوى الشركات العالمية.
(ملخص سابق: قرصنة من كوريا الشمالية 2025 تسجل رقمًا قياسيًا: سرقة 2.02 مليار دولار من العملات المشفرة، دورة غسيل أموال تستغرق حوالي 45 يومًا)
(معلومات إضافية: تقرير Chainalysis: قرصنة من كوريا الشمالية سرقت 20 مليار دولار من الأصول المشفرة في 2025، وBybit كانت أكبر ضحية)

فهرس المقال

• مقابلات وهمية وهجمات حقيقية، عملية التوظيف تصبح مدخلًا للاختراق
• هجمات في عدة مناطق، التكنولوجيا والمالية هدفان رئيسيان
• هويات مزيفة متعددة وأدوات خبيثة، أساليب تتطور باستمرار
• خبراء يحذرون: يجب تعزيز اليقظة في عمليات التوظيف والتطوير

مؤخرًا، أطلقت منظمات قرصنة مرتبطة بكوريا الشمالية موجة جديدة من الهجمات الإلكترونية، عبر عمليات احتيال في مقابلات التوظيف وعمليات التوظيف التقنية، مستهدفة شركات الذكاء الاصطناعي والعملات المشفرة والخدمات المالية على مستوى العالم، حيث تجاوز عدد عناوين IP المتأثرة 3,100، مما يدل على اتساع نطاق العمليات ودقتها المستمرة في التطور.

وفقًا لأحدث دراسة من شركة Recorded Future التابعة لمجموعة Insikt، يقود هذه العملية فريق قرصنة يُعرف باسم PurpleBravo. يُعتقد أن هذه المنظمة مرتبطة بقوات الإنترنت الكورية الشمالية، وقد تورطت في عدة سرقات للعملات المشفرة خلال العام الماضي، محققة أرباحًا غير قانونية تقدر بعشرات المليارات من الدولارات.

مقابلات وهمية وهجمات حقيقية، عملية التوظيف تصبح مدخلًا للاختراق

أشار خبراء أمن المعلومات إلى أن PurpleBravo تعتمد أسلوبًا يُعرف بـ «المقابلة المعدية (Contagious Interview)»، حيث يتظاهر القراصنة بأنهم موظفو توظيف في شركات تكنولوجيا أو شركات عملات مشفرة، ويتواصلون بشكل نشط مع المهندسين والمطورين، ويدعونهم للمشاركة في مقابلات تقنية.

خلال عملية المقابلة، غالبًا ما يُطلب من الضحايا مراجعة الشيفرة البرمجية، أو استنساخ مستودعات GitHub، أو تنفيذ مهام تطوير محددة. ومع ذلك، فإن هذه الاختبارات التي تبدو طبيعية، تخفي في الواقع برمجيات خبيثة. بمجرد تشغيلها على أجهزة الشركات، قد يتمكن القراصنة من الحصول على صلاحيات وصول أعمق إلى النظام، مما يشكل خطرًا لا يقتصر على الحسابات الشخصية فحسب، بل قد يمتد ليشمل الشبكة الداخلية للمؤسسة.

هجمات في عدة مناطق، التكنولوجيا والمالية هدفان رئيسيان

قالت مجموعة Insikt إن، خلال فترة المراقبة، استهدفت أكثر من 3,136 عنوان IP، وتم تأكيد استهداف أكثر من 20 منظمة، موزعة عبر جنوب آسيا، أمريكا الشمالية، أوروبا، الشرق الأوسط، وأمريكا الوسطى.

وأشارت الدراسات إلى أن هذه الهجمات تفضل استهداف الصناعات التي تملك كميات كبيرة من البيانات، وتتمتع بحركة مالية نشطة، بما في ذلك شركات البحث والتطوير في الذكاء الاصطناعي، وشركات التداول بالعملات المشفرة، والمؤسسات المالية، مما يدل على أن أهداف القراصنة ليست سرقة المعلومات فحسب، بل قد تكون أيضًا سرقة الأموال أو اختراقات طويلة الأمد.

هويات مزيفة متعددة وأدوات خبيثة، أساليب تتطور باستمرار

كما اكتشفت الجهات الأمنية أن هذه العمليات تستخدم هويات مزيفة متعددة، غالبًا ما تدعي أنها من أوكرانيا، وتتواصل مع الباحثين عن عمل عبر منصات مثل GitHub وLinkedIn وUpwork، لزيادة مصداقيتها. وترافق ذلك مع استخدام العديد من البرامج الضارة متعددة المنصات، التي تُستخدم لسرقة كلمات مرور المتصفحات وملفات الكوكيز، وحتى تنفيذ تحكم عن بعد.

بالإضافة إلى ذلك، حذر الباحثون من أن القراصنة بدأوا في استغلال أدوات تطوير معدلة، مثل مشاريع Visual Studio Code التي تم زرع خلفيات فيها، بحيث عند فتحها بعد منح الثقة، يمكن أن تنفذ أوامر خبيثة دون علم المستخدم.

خبراء يحذرون: يجب تعزيز اليقظة في عمليات التوظيف والتطوير

نصح خبراء الأمن السيبراني بأنه مع تحول العمل عن بعد والتوظيف عبر الإنترنت إلى الوضع الطبيعي، فإن القراصنة يواصلون استخدام «عملية التوظيف» كسلاح. وعليه، ينبغي على المهندسين والشركات أن يكونوا أكثر حذرًا عند تلقي دعوات توظيف غريبة، أو اختبارات الشيفرة، أو التعاون في مشاريع، مع ضرورة التحقق من مصدرها الحقيقي، وتجنب تشغيل الشيفرات غير الموثوقة على أجهزة الشركة، لتقليل خطر الهجمات على مستوى المنظمة.