كشف مخطط العملات المشفرة في كوريا الشمالية: تمت سرقة 3.5 مليون دولار من خلال هويات مطورين مزيفة

جدول المحتويات أصدر محقق blockchain الشهير ZachXBT معلومات سرية هذا الأسبوع تم الحصول عليها من جهاز تم اختراقه مملوك من قبل أحد العاملين في مجال تكنولوجيا المعلومات في كوريا الشمالية، مما يكشف عن مخطط احتيال منظم للعملات المشفرة جمع أكثر من 3.5 مليون دولار في غضون عدة أشهر. تم توفير المعلومات الاستخبارية من قبل باحث أمني مجهول نجح في اختراق أحد أجهزة الكمبيوتر الخاصة بالعملاء. شارك ZachXBT تحليله على X، موضحًا كيف كان ما يقرب من 140 عاملًا، تحت إشراف فرد يستخدم الاسم المستعار "Jerry"، يدرون ما يقرب من مليون دولار شهريًا من العملة المشفرة بدءًا من أواخر نوفمبر 2024. 1 / شارك مؤخرًا مصدر غير مسمى بيانات تم تسريبها من خادم دفع داخلي في كوريا الشمالية يحتوي على 390 حسابًا وسجلات دردشة ومعاملات تشفير. لقد أمضيت ساعات طويلة في دراسة كل ذلك، ولم يتم نشر أي منها علنًا على الإطلاق. لقد كشفت عن أمر معقد… pic.twitter.com/aTybOrwMHq – ZachXBT (@zachxbt) 8 أبريل 2026 استخدم العملاء هويات ملفقة لتأمين وظائف التكنولوجيا عن بعد في لوحات الوظائف مثل الواقع. كشفت الأدلة عن تقديم جيري لطلبات التطوير الكامل وفرص هندسة البرمجيات أثناء استخدام Astrill VPN لإخفاء الموقع الجغرافي. في مسودة المراسلات التي تم اكتشافها أثناء الاختراق، تابع جيري دورًا متخصصًا في WordPress وSEO في شركة لتصنيع القمصان مقرها في تكساس، وطلب تعويضًا قدره 30 دولارًا في الساعة لمدة 15 إلى 20 ساعة أسبوعيًا. استخدم عميل ثان تم تحديده باسم "Rascal" أوراق اعتماد مزورة وعنوانًا بريديًا في هونج كونج في المستندات المالية. وتضمنت المواد المسربة أيضًا صورًا لجواز سفر أيرلندي منسوب إلى راسكال، على الرغم من أن نشره الفعلي لم يتم التحقق منه بعد. قامت المجموعة بإدارة المعاملات المالية الجماعية من خلال موقع ويب مخصص تم تحديده باسم "luckyguys.site". استخدمت العديد من حسابات المستخدمين على هذه المنصة كلمة المرور الافتراضية البدائية "123456"، مما يدل على وجود ثغرات أمنية تشغيلية كبيرة. خدمت المنصة أغراضًا مزدوجة كقناة اتصال ونظام لإعداد التقارير. قام العملاء بتسجيل إيراداتهم وتلقوا التوجيهات من خلال الواجهة. حساب إداري مخصص للمعاملات PC-1234 التي تم التحقق منها وبيانات اعتماد الوصول المنشورة لتبادل العملات المشفرة ومنصات التكنولوجيا المالية. وتواجه المنظمات الثلاث المشار إليها في البيانات المخترقة – سوبايكسو وسينال وسونغ كوانغ – حاليًا عقوبات من المكتب الأمريكي لمراقبة الأصول الأجنبية. تم استبدال العملة الرقمية بالعملة التقليدية باستخدام المؤسسات والمنصات المالية الصينية مثل Payoneer. تم تعطيل محفظة قائمة على Tron مرتبطة بالشبكة بواسطة Tether في ديسمبر 2024. بالإضافة إلى ذلك، كشفت المعلومات المخترقة أن بعض العملاء كانوا يطورون استراتيجيات السرقة. أشارت الاتصالات إلى خطط لتسوية مبادرة blockchain تسمى Arcano on GalaChain باستخدام وسيط نيجيري، على الرغم من أن تأكيد التنفيذ لا يزال غائبًا عن البيانات المتاحة. قام الموظفون الإداريون بتوزيع 43 وحدة تعليمية تتناول أدوات الهندسة العكسية بما في ذلك Hex-Rays وIDA Pro، مع التركيز على تقنيات التفكيك وإجراءات تصحيح الأخطاء وفحص البرامج الضارة. تشمل مجموعة البيانات الكاملة 390 حساب مستخدم وسجلات اتصالات ونشاط التصفح. اكتشف المحققون 33 عميلاً يتبادلون الرسائل من خلال IPMsg ضمن بيئة شبكة واحدة. لاحظ ZachXBT أن هذه المجموعة أظهرت كفاءة تقنية أقل مقارنة بوحدات الجرائم الإلكترونية البديلة في كوريا الشمالية مثل AppleJeus وTraderTraitor. خصصت الجهات الفاعلة التي ترعاها الدولة في كوريا الشمالية ما يزيد عن 7 مليارات دولار بشكل تراكمي منذ عام 2009. بالإضافة إلى ذلك، كانت هذه المجموعة بالذات مرتبطة بالانتهاك الأمني ​​لبروتوكول Drift Protocol الذي حدث في 1 أبريل 2025 بقيمة 280 مليون دولار.