"فخ التوظيف".. هكذا يسرق قراصنة كوريا الشمالية العملات المشفرة حول العالم

أكد خمسة وعشرون خبيرًا وضحية وممثل شركة لـ"رويترز" أن هذه الظاهرة باتت منتشرة في كل مكان. ورغم عدم وجود تقديرات رسمية لحجم الخسائر الناتجة عن ذلك، فإن شركة Chainalysis قدّرت سرقات كوريا الشمالية العام الماضي بما لا يقل عن 1.34 مليار دولار. وتقول الولايات المتحدة ومراقبو الأمم المتحدة إن هذه الأموال تُستخدم لدعم برنامج بيونغ يانغ التسليحي الخاضع للعقوبات.

وهذه التحذيرات ليست جديدة، ففي أواخر العام الماضي، أصدر مكتب التحقيقات الفدرالي بيانًا عامًا حذّر فيه من أن كوريا الشمالية تستهدف صناعة العملات المشفرة "بشكل عدواني" عبر مخططات هندسة اجتماعية "معقدة ومفصلة".

كارلوس يانيز، مدير تطوير الأعمال في شركة "غلوبال ليدجر" السويسرية، كان من بين المستهدفين. يقول للوكالة: "يحدث ذلك لي طوال الوقت، وأنا متأكد أنه يحدث للجميع في هذا المجال"، مضيفًا أن محاولات انتحال الهوية باتت أكثر دقة خلال العام الأخير. "من المخيف مدى التقدم الذي حققوه"، يضيف.

خدعة تبدأ بعرض وظيفي

كشف تقرير "رويترز" تفاصيل لم يتمّ الإعلان عنها سابقًا حول الآلية المتبعة. في البداية، يتواصل مجنّد عبر منصات مثل LinkedIn أو Telegram، مقدمًا عرضًا وظيفيًا جذابًا في مجال البلوكتشين. في رسالة بتاريخ 20 كانون الثاني/ يناير، تواصل أحدهم مع فيكتوريا بيريبيل مدّعيًا تمثيل شركة Bitwise Asset Management: "نحن بصدد توسيع فريقنا حاليًا، ونبحث عن أفراد شغوفين بأسواق العملات المشفرة".

بعد محادثة قصيرة عن طبيعة الوظيفة، يوجّه المجنّد المرشح إلى موقع إلكتروني غامض لإجراء اختبار مهارات أو تسجيل فيديو. هنا، تساءل البعض: لماذا لا تجري المقابلة عبر منصات شائعة مثل Google Meet أو Zoom؟

أولوف هاغلوند، رائد أعمال في التعلم الآلي، تلقى عرضًا مماثلًا من شخص زعم أنه مسؤول توظيف في منصة Robinhood. رفض هاغلوند تحميل الكود المطلوب لتصوير الفيديو وأنهى المقابلة، لكن آخرين لم يكونوا بالقدر نفسه من الحذر.

وقد تحدّث أحد مدراء المنتجات في شركة أمريكية للعملات المشفرة لـ"رويترز" شرط عدم الكشف عن هويته، وقال إنه أرسل الفيديو لمجنّد ادعى تمثيل شركة Ripple Labs، قبل أن يكتشف لاحقًا سرقة ما قيمته 1000 دولار من عملتي الإيثر وSolana من محفظته الرقمية. ولدى عودته للبحث عن حساب المجنّد على LinkedIn، وجده قد اختفى تمامًا.

ضحايا بالعشرات

شركتا SentinelOne وValidin نسبت هذه السرقات إلى حملة كورية شمالية أطلقت عليها شركة Palo Alto Networks للأمن السيبراني اسم "المقابلة المعدية". ويقول الباحثون إنهم حددوا هوية القراصنة عبر عناوين بروتوكول الإنترنت وبريد إلكتروني مرتبط بهجمات سابقة لكوريا الشمالية.

وخلال تحقيقهم، عثر الباحثون على سجلات تسرّبت بالخطأ من قبل القراصنة، كشفت بيانات لأكثر من 230 شخصًا من مطورين ومحاسبين ومستشارين ومدراء ومسوقين وغيرهم، جرى استهدافهم بين كانون الثاني/ يناير وآذار/ مارس.