شمالی کوریا کی کرپٹو اسکیم کا پردہ فاش: جعلی ڈیولپر شناخت کے ذریعے $3.5M چوری

مشمولات کا جدول مشہور بلاکچین جاسوس ZachXBT نے اس ہفتے خفیہ معلومات جاری کیں جو شمالی کوریا کے ایک IT آپریٹو کی ملکیت والے ایک ہیک شدہ ڈیوائس سے حاصل کی گئی تھی، جس نے ایک منظم کرپٹو کرنسی فراڈ اسکیم کو بے نقاب کیا جس نے کئی مہینوں میں $3.5 ملین سے زیادہ کا ذخیرہ کیا۔ یہ انٹیلی جنس ایک گمنام سیکیورٹی محقق کے ذریعے فراہم کی گئی تھی جس نے آپریٹو کے کمپیوٹر میں کامیابی سے دراندازی کی۔ ZachXBT نے X پر اپنا تجزیہ شیئر کیا، جس میں بتایا گیا کہ کس طرح تقریباً 140 کارکنان، عرف "جیری" کا استعمال کرنے والے ایک فرد کی نگرانی میں نومبر 2024 کے آخر سے شروع ہونے والی کریپٹو کرنسی میں تقریباً $1 ملین ماہانہ کما رہے تھے۔ لاگز، کرپٹو ٹرانزیکشنز۔ میں نے اس سب سے گزرتے ہوئے طویل گھنٹے گزارے، جن میں سے کوئی بھی کبھی عوامی طور پر جاری نہیں کیا گیا۔ اس نے ایک پیچیدہ انکشاف کیا… pic.twitter.com/aTybOrwMHq — ZachXBT (@zachxbt) اپریل 8، 2026 آپریٹو نے جاب بورڈز جیسے کہ درحقیقت دور دراز تکنالوجی کی پوزیشنوں کو محفوظ بنانے کے لیے من گھڑت شناختوں کا استعمال کیا۔ شواہد سے پتہ چلتا ہے کہ جیری نے جغرافیائی محل وقوع کو چھپانے کے لیے Astrill VPN کا استعمال کرتے ہوئے فل اسٹیک ڈویلپمنٹ اور سافٹ ویئر انجینئرنگ کے مواقع کے لیے درخواستیں جمع کرائیں۔ خلاف ورزی میں دریافت کردہ خط و کتابت کے مسودے میں، جیری نے ٹیکساس میں واقع ایک ٹی شرٹ بنانے والی کمپنی میں ورڈپریس اور SEO کے ماہر کے کردار کی پیروی کی، جس نے 15 سے 20 ہفتہ وار گھنٹوں کے لیے $30 فی گھنٹہ کے معاوضے کی درخواست کی۔ ایک دوسرے آپریٹو کی شناخت "Rascal" کے طور پر کی گئی جس نے مالی دستاویزات پر جعلی اسناد اور ہانگ کانگ کے میلنگ ایڈریس کا استعمال کیا۔ لیک ہونے والے مواد میں ایک آئرش پاسپورٹ کی تصویر بھی شامل ہے جس کی وجہ Rascal سے ہے، حالانکہ اس کی اصل تعیناتی غیر تصدیق شدہ ہے۔ "luckyguys.site" کے نام سے شناخت کی گئی ایک سرشار ویب سائٹ کے ذریعے اجتماعی مالی لین دین کا انتظام کرتا ہے۔ اس پلیٹ فارم پر متعدد صارف اکاؤنٹس نے ابتدائی ڈیفالٹ پاس ورڈ "123456" کا استعمال کیا، جو اہم آپریشنل سیکورٹی کمزوریوں کو ظاہر کرتا ہے۔ پلیٹ فارم نے مواصلاتی چینل اور رپورٹنگ سسٹم دونوں کے طور پر دوہرے مقاصد کی تکمیل کی۔ آپریٹوز نے اپنی آمدنی کو لاگ ان کیا اور انٹرفیس کے ذریعے ہدایات حاصل کیں۔ ایک انتظامی اکاؤنٹ نامزد کردہ PC-1234 کی توثیق شدہ ٹرانزیکشنز اور کرپٹو کرنسی ایکسچینجز اور مالیاتی ٹیکنالوجی پلیٹ فارمز کے لیے رسائی کی اسناد کو پھیلایا گیا ہے۔ سمجھوتہ کیے گئے ڈیٹا میں جن تین تنظیموں کا حوالہ دیا گیا ہے — سوبیکسو، سینال اور سونگ کوانگ — کو فی الحال امریکی دفتر برائے غیر ملکی اثاثہ جات کنٹرول کی جانب سے پابندیوں کا سامنا ہے۔ چینی مالیاتی اداروں اور Payoneer جیسے پلیٹ فارمز کو استعمال کرتے ہوئے روایتی کرنسی کے لیے ڈیجیٹل کرنسی کا تبادلہ کیا گیا۔ نیٹ ورک سے منسلک ٹرون پر مبنی بٹوے کو دسمبر 2024 میں ٹیتھر نے متحرک کر دیا تھا۔ سمجھوتہ کی گئی معلومات نے یہ بھی انکشاف کیا کہ کچھ آپریٹو چوری کی حکمت عملی تیار کر رہے تھے۔ کمیونیکیشنز نے نائیجیریا کے بیچوان کا استعمال کرتے ہوئے GalaChain پر آرکانو نامی بلاک چین اقدام سے سمجھوتہ کرنے کے منصوبوں کا حوالہ دیا، حالانکہ عمل درآمد کی تصدیق دستیاب ڈیٹا سے غائب ہے۔ انتظامی عملے نے 43 تعلیمی ماڈیولز کو گردش کیا جو ریورس انجینئرنگ یوٹیلیٹیز بشمول Hex-Rays اور IDA Pro سے خطاب کرتے ہوئے، جدا کرنے کی تکنیکوں، ڈیبگنگ کے طریقہ کار، اور مالویئر کی جانچ پر زور دیتے ہوئے۔ مکمل ڈیٹاسیٹ میں 390 صارف اکاؤنٹس، کمیونیکیشن ریکارڈ، اور براؤزنگ سرگرمی شامل ہے۔ تفتیش کاروں نے ایک نیٹ ورک کے ماحول میں IPMsg کے ذریعے پیغامات کا تبادلہ کرنے والے 33 آپریٹو کو دریافت کیا۔ ZachXBT نے مشاہدہ کیا کہ اس اجتماعی نے شمالی کوریا کے متبادل سائبر کرائم یونٹس جیسے AppleJeus اور TraderTraitor کے مقابلے میں کم تکنیکی مہارت کا مظاہرہ کیا۔ شمالی کوریا کے ریاستی سرپرستی میں دھمکی دینے والے عناصر نے 2009 سے اب تک مجموعی طور پر $7 بلین سے زیادہ رقم مختص کی ہے۔ یہ خاص گروپ 1 اپریل 2025 کو ہونے والے ڈرفٹ پروٹوکول کی $280 ملین سیکیورٹی خلاف ورزی سے بھی منسلک تھا۔