ملاحظة المحرر: كان المتسللون الكوريون الشماليون دائمًا تهديدًا كبيرًا لسوق العملات المشفرة. في السنوات السابقة، كان الضحايا والمهنيون في مجال الأمن قادرين فقط على التخمين عن أنماط سلوك المتسللين الكوريين الشماليين من خلال عكس الأحداث الأمنية ذات الصلة في كل فترة، لكن بالأمس، استشهد المحقق الشهير في سلسلة الكتل ZachXBT في تغريدة جديدة له بتحليل تحقيق قام به هاكر أبيض قام بعكس اختراق المتسللين الكوريين الشماليين، مما كشف لأول مرة عن طرق "عملهم" من منظور نشط، وقد يكون له دلالة إيجابية معينة على تعزيز الأمن للمشاريع في الصناعة.
النص الكامل أدناه من ZachXBT، تمت ترجمته بواسطة Odaily 星球日报.
قام هاكر مجهول الهوية مؤخرًا باختراق جهاز أحد العاملين في مجال تكنولوجيا المعلومات في كوريا الشمالية، مما كشف النقاب عن كيفية قيام فريق تقني مكون من خمسة أشخاص بالتلاعب بأكثر من 30 هوية مزيفة للقيام بأنشطتهم. يمتلك هذا الفريق وثائق هوية مزورة صادرة عن الحكومة، كما يت infiltrate مشاريع تطوير متنوعة من خلال شراء حسابات على Upwork وLinkedIn.
!
!
حصل المحققون على بيانات Google Drive الخاصة بهم، وملفات تعريف متصفح Chrome، ولقطات شاشة للأجهزة. تظهر البيانات أن الفريق يعتمد بشكل كبير على مجموعة أدوات Google لتنسيق جداول العمل، وتوزيع المهام، وإدارة الميزانيات، وجميع الاتصالات تتم باللغة الإنجليزية.
!
كشفت وثيقة تقرير أسبوعي لعام 2025 عن نمط عمل فريق القراصنة والصعوبات التي واجهوها خلال تلك الفترة، على سبيل المثال، اشتكى أحد الأعضاء من "عجزه عن فهم متطلبات العمل، ولا يعرف ماذا يفعل"، بينما كان خانة الحلول المقابلة تحتوي على "الاستثمار بجد، وبذل المزيد من الجهد"...
!
!
تظهر تفاصيل النفقات أن عناصر نفقاتهم تشمل شراء رقم الضمان الاجتماعي (SSN) ، والمعاملات المتعلقة بحسابات Upwork و LinkedIn ، واستئجار أرقام الهواتف ، والاشتراك في خدمات الذكاء الاصطناعي ، واستئجار أجهزة الكمبيوتر ، وشراء خدمات VPN / البروكسي وغيرها.
!
تسجل إحدى جداول البيانات بالتفصيل جدول المواعيد ونصوص المحادثة للمشاركة في الاجتماع بهوية مزيفة "هنري تشانغ". تُظهر إجراءات التشغيل أن هؤلاء العمال في مجال تكنولوجيا المعلومات من كوريا الشمالية سيقومون أولاً بشراء حسابات على Upwork و LinkedIn، واستئجار أجهزة الكمبيوتر، ثم إكمال العمل الخارجي باستخدام أداة التحكم عن بعد AnyDesk.
!
!
من بين عناوين المحفظة التي يستخدمونها لإرسال واستقبال الأموال هو:
0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c.
!
!
هذا العنوان مرتبط ارتباطًا وثيقًا بالحادثة الهجومية على بروتوكول Favrr التي وقعت في يونيو 2025 والتي بلغت قيمتها 680,000 دولار، وقد تم التأكيد بعد ذلك أن المدير التنفيذي للتكنولوجيا (CTO) وغيرهم من المطورين كانوا عمال تكنولوجيا المعلومات الكوريين الشماليين الذين يحملون وثائق مزورة. من خلال هذا العنوان تم التعرف أيضًا على عمال تكنولوجيا المعلومات الكوريين الشماليين المرتبطين بمشاريع اختراق أخرى.
!
تم العثور على الأدلة الرئيسية التالية أيضًا في سجل البحث وسجل المتصفح الخاص بالفريق.
! !
قد يسأل البعض "كيف نؤكد أنهم من كوريا الشمالية؟" بالإضافة إلى جميع الوثائق الاحتيالية الموصوفة أعلاه، تظهر سجلات بحثهم أنهم يستخدمون Google Translate بشكل متكرر، ويستخدمون IP روسي لترجمة إلى الكورية.
!
!
في الوقت الحالي، تتركز التحديات الرئيسية التي تواجه الشركات في الحماية من العاملين في مجال تكنولوجيا المعلومات في كوريا الشمالية في الجوانب التالية:
نقص التعاون النظامي: عدم وجود آلية فعالة لمشاركة المعلومات والتعاون بين مقدمي خدمات المنصة والقطاع الخاص؛
عدم انتباه جهة التوظيف: غالبًا ما يظهر فريق العمل موقفًا دفاعيًا بعد تلقي تحذير من المخاطر، بل يرفض حتى التعاون في التحقيق؛
ميزة العدد الهائل: على الرغم من أن تقنياته ليست معقدة، إلا أنه يتمتع بقاعدة كبيرة من الباحثين عن عمل مما يسمح له بالتغلغل المستمر في سوق العمل العالمي؛
قنوات تحويل الأموال: يتم استخدام منصات الدفع مثل Payoneer بشكل متكرر لتحويل الإيرادات بالعملة القانونية الناتجة عن العمل التطويري إلى العملات المشفرة؛
لقد قمت بتقديم المؤشرات التي يجب الانتباه إليها عدة مرات، يمكن للمهتمين مراجعة تغريداتي السابقة، لذلك لن أكرر ذلك هنا.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
ZachXBT:عكسي هاكر أجهزة هاكرز كوريا الشمالية بعد ، فهمت "نمط عملهم"
المؤلف: ZachXBT
ترجمة: أزوم، صحيفة الكوكب
ملاحظة المحرر: كان المتسللون الكوريون الشماليون دائمًا تهديدًا كبيرًا لسوق العملات المشفرة. في السنوات السابقة، كان الضحايا والمهنيون في مجال الأمن قادرين فقط على التخمين عن أنماط سلوك المتسللين الكوريين الشماليين من خلال عكس الأحداث الأمنية ذات الصلة في كل فترة، لكن بالأمس، استشهد المحقق الشهير في سلسلة الكتل ZachXBT في تغريدة جديدة له بتحليل تحقيق قام به هاكر أبيض قام بعكس اختراق المتسللين الكوريين الشماليين، مما كشف لأول مرة عن طرق "عملهم" من منظور نشط، وقد يكون له دلالة إيجابية معينة على تعزيز الأمن للمشاريع في الصناعة.
النص الكامل أدناه من ZachXBT، تمت ترجمته بواسطة Odaily 星球日报.
قام هاكر مجهول الهوية مؤخرًا باختراق جهاز أحد العاملين في مجال تكنولوجيا المعلومات في كوريا الشمالية، مما كشف النقاب عن كيفية قيام فريق تقني مكون من خمسة أشخاص بالتلاعب بأكثر من 30 هوية مزيفة للقيام بأنشطتهم. يمتلك هذا الفريق وثائق هوية مزورة صادرة عن الحكومة، كما يت infiltrate مشاريع تطوير متنوعة من خلال شراء حسابات على Upwork وLinkedIn.
!
!
حصل المحققون على بيانات Google Drive الخاصة بهم، وملفات تعريف متصفح Chrome، ولقطات شاشة للأجهزة. تظهر البيانات أن الفريق يعتمد بشكل كبير على مجموعة أدوات Google لتنسيق جداول العمل، وتوزيع المهام، وإدارة الميزانيات، وجميع الاتصالات تتم باللغة الإنجليزية.
!
كشفت وثيقة تقرير أسبوعي لعام 2025 عن نمط عمل فريق القراصنة والصعوبات التي واجهوها خلال تلك الفترة، على سبيل المثال، اشتكى أحد الأعضاء من "عجزه عن فهم متطلبات العمل، ولا يعرف ماذا يفعل"، بينما كان خانة الحلول المقابلة تحتوي على "الاستثمار بجد، وبذل المزيد من الجهد"...
!
!
تظهر تفاصيل النفقات أن عناصر نفقاتهم تشمل شراء رقم الضمان الاجتماعي (SSN) ، والمعاملات المتعلقة بحسابات Upwork و LinkedIn ، واستئجار أرقام الهواتف ، والاشتراك في خدمات الذكاء الاصطناعي ، واستئجار أجهزة الكمبيوتر ، وشراء خدمات VPN / البروكسي وغيرها.
!
تسجل إحدى جداول البيانات بالتفصيل جدول المواعيد ونصوص المحادثة للمشاركة في الاجتماع بهوية مزيفة "هنري تشانغ". تُظهر إجراءات التشغيل أن هؤلاء العمال في مجال تكنولوجيا المعلومات من كوريا الشمالية سيقومون أولاً بشراء حسابات على Upwork و LinkedIn، واستئجار أجهزة الكمبيوتر، ثم إكمال العمل الخارجي باستخدام أداة التحكم عن بعد AnyDesk.
!
!
من بين عناوين المحفظة التي يستخدمونها لإرسال واستقبال الأموال هو:
0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c.
!
!
هذا العنوان مرتبط ارتباطًا وثيقًا بالحادثة الهجومية على بروتوكول Favrr التي وقعت في يونيو 2025 والتي بلغت قيمتها 680,000 دولار، وقد تم التأكيد بعد ذلك أن المدير التنفيذي للتكنولوجيا (CTO) وغيرهم من المطورين كانوا عمال تكنولوجيا المعلومات الكوريين الشماليين الذين يحملون وثائق مزورة. من خلال هذا العنوان تم التعرف أيضًا على عمال تكنولوجيا المعلومات الكوريين الشماليين المرتبطين بمشاريع اختراق أخرى.
!
تم العثور على الأدلة الرئيسية التالية أيضًا في سجل البحث وسجل المتصفح الخاص بالفريق.
! !
قد يسأل البعض "كيف نؤكد أنهم من كوريا الشمالية؟" بالإضافة إلى جميع الوثائق الاحتيالية الموصوفة أعلاه، تظهر سجلات بحثهم أنهم يستخدمون Google Translate بشكل متكرر، ويستخدمون IP روسي لترجمة إلى الكورية.
!
!
في الوقت الحالي، تتركز التحديات الرئيسية التي تواجه الشركات في الحماية من العاملين في مجال تكنولوجيا المعلومات في كوريا الشمالية في الجوانب التالية:
لقد قمت بتقديم المؤشرات التي يجب الانتباه إليها عدة مرات، يمكن للمهتمين مراجعة تغريداتي السابقة، لذلك لن أكرر ذلك هنا.