مؤسسة الإيثيريوم تكشف عن 100 عميل كوري شمالي يتسللون إلى شركات الكريبتو

النقاط الرئيسية

• تحقيق استمر لمدة ستة أشهر يحدد 100 عميل كوري شمالي يعملون في شركات العملات المشفرة
• بحث مدعوم من مؤسسة الإيثريوم يكشف عن شبكة مطورين سرية عبر صناعة البلوكشين
• تم اكتشاف متسللين مرتبطين بكوريا الشمالية يعملون تحت هويات مزيفة في فرق تطوير Web3
• منظمات البلوكشين تواجه تهديدات أمنية متزايدة من عملاء مدعومين من الدولة
• التحقيق يكشف عن وجود كوري شمالي منظم وطويل الأمد في جميع أنحاء قطاع التشفير

كشف تحقيق أمني شامل مدعوم من مؤسسة الإيثريوم عن خرق كبير يتضمن عملاء سريين مدمجين داخل منظمات Web3. نجحت عملية البحث الواسعة التي استمرت ستة أشهر في تحديد 100 فرد لهم علاقات بكوريا الشمالية يعملون داخل فرق تطوير العملات المشفرة. تؤكد هذه الكشوفات على تحدي أمني تشغيلي متصاعد في جميع أنحاء شبكة الإيثريوم.

بحث منهجي يكشف عن شبكة تسلل واسعة النطاق في Web3

دعمت مؤسسة الإيثريوم هذا التقييم الأمني الشامل من خلال برنامج ETH Rangers الخاص بها، والذي بدأ العمليات في أواخر عام 2024. قدمت هذه المبادرة تمويلًا لباحثي أمن مستقلين مكرسين لتعزيز حماية النظام البيئي من خلال مشاريع البنية التحتية العامة المركزة. ونتيجة لذلك، أنشأ أحد المستفيدين مشروع Ketman خصيصًا لمراقبة أنماط سلوك المطورين المشكوك فيها.

ركز مشروع Ketman جهوده على كشف مطوري الألعاب الاحتيالية المدمجين في شركات Web3 الذين يستخدمون هويات مزيفة متعددة الطبقات. خلال فترة التحقيق التي استمرت ستة أشهر، نجح الباحثون في تحديد 100 فرد مرتبطين بكوريا الشمالية يعملون حاليًا داخل منظمات العملات المشفرة. تواصل فريق التحقيق مع 53 مشروع بلوكشين مختلف ربما قامت بتوظيف هؤلاء العملاء المخفيين دون علم.

أكدت المؤسسة أن هذه الاكتشافات تكشف عن ثغرة أمنية تشغيلية كبيرة تؤثر على بنية تطوير بلوكتشين الإيثريوم. طور الباحثون منصة كشف مفتوحة المصدر مصممة لتحديد الأنماط المشبوهة في نشاط مساهمي GitHub. يمثل هذا البرنامج التزامات موسعة نحو تعزيز الإجراءات الأمنية عبر النظام البيئي الأوسع.

عمليات كورية شمالية ممتدة مرتبطة بسرقات ضخمة للعملات المشفرة

تُظهر الأدلة الاستقصائية أن مطوري الألعاب المرتبطين بكوريا الشمالية حافظوا على أدوار نشطة داخل فرق تطوير العملات المشفرة على مدى سنوات متعددة. شارك هؤلاء العملاء في تطوير المشاريع بينما أخفوا هوياتهم الحقيقية وراء مساهمات تقنية موثوقة. ربط محللو الأمن العديد من العمليات بمجموعة Lazarus، وهي منظمة جرائم إلكترونية مدعومة من الدولة.

تحسب تقارير الصناعة أن الكيانات المرتبطة بكوريا الشمالية نجحت في سرقة ما يقرب من 7 مليار دولار من منصات العملات المشفرة بدءًا من عام 2017. تشمل هذه الأنشطة الإجرامية خروقات أمنية كبيرة بما في ذلك اختراق جسر Ronin وحادثة أمان WazirX. يُظهر حجم الضرر المالي عمليات حرب إلكترونية منسقة ومستمرة.

لاحظ خبراء الأمن السيبراني أن هؤلاء المطورين المدمجين غالبًا ما يُظهرون خبرة مشروعة في تطوير البلوكشين على الرغم من العمل تحت هويات مفبركة. اعتمدت العديد من بروتوكولات التمويل اللامركزي في جميع أنحاء النظام البيئي تاريخيًا على هؤلاء المساهمين. تمتد مشكلة التسلل هذه إلى ما هو أبعد من الحوادث المعزولة الفردية إلى ثغرة في البنية التحتية الأساسية.

أساليب خداع مباشرة تمكن التسلل الناجح طويل الأمد

اكتشف الباحثون أن العديد من استراتيجيات التسلل تعتمد على تقنيات خداع بسيطة لكنها فعالة للغاية. تشمل هذه الأساليب طلبات التوظيف القياسية، والتواصل المهني عبر LinkedIn، وعمليات المقابلة عن بُعد المصممة لإنشاء مصداقية داخل فرق التطوير. من خلال هذه الطرق، ينجح العملاء في دمج أنفسهم في عمليات التطوير القياسية.

وثق مشروع Ketman علامات تحذيرية متكررة واضحة عبر حسابات المطورين وتفاعلات النظام. تشمل هذه المؤشرات التحذيرية صور ملف شخصي معاد تدويرها، وإعدادات تكوين لغة متناقضة، وكشف غير مقصود لحسابات بريد إلكتروني غير ذات صلة. تظهر التناقضات بشكل متكرر خلال جلسات مشاركة الشاشة أو عند فحص سجلات نشاط مستودع الكود.

شاركت مبادرة البحث مع تحالف الأمن لإنشاء إطار عمل شامل لاكتشاف المشاركين المطورين المشبوهين. عززت هذه الجهود التعاونية قدرات كشف التهديدات من خلال تبادل المعلومات الاستخباراتية المنسق في جميع أنحاء صناعة العملات المشفرة. تمتلك منظمات البلوكشين الآن موارد محسنة لتقليل الضعف أمام التهديدات الأمنية المخفية.

ظهر منشور مؤسسة الإيثريوم تفضح 100 عميل كوري شمالي يتسللون إلى شركات التشفير لأول مرة على Blockonomi.