افشای حلقه هک رمزارزها با شناسایی دستگاه آلوده

یک دستگاه فاش شده متعلق به یکی از کارکنان فناوری اطلاعات کره شمالی، پرده از یک عملیات سازمان‌یافته برداشت که پروژه‌های رمز ارز را هدف قرار داده بود؛ این عملیات نهایتاً منجر به هک بازار توکن طرفداری Favrr در ژوئن ۲۰۲۵ شد. محقق زنجیره‌ای زاک ایکس‌بی‌تی (ZachXBT) با ردیابی فعالیت کیف‌پول‌ها و آثار دیجیتال به دست آمده از اسکرین‌شات‌ها، خروجی‌های Google Drive و پروفایل‌های Chrome روی رایانه هک‌شده، اطلاعات ارزشمندی کشف کرد. یکی از آدرس‌های کیف‌پول به نام 0x78e1 مستقیماً با وجوه سرقت‌شده از ماجرای Favrr مرتبط شد.

نتایج این تحقیق نشان داد که تیمی شش نفره با حداقل ۳۱ هویت جعلی با استفاده از اطلاعات شناسایی دولتی و شماره‌ تلفن اقدام به یافتن موقعیت‌های شغلی معتبر در زمینه توسعه بلاک‌چین می‌کردند. آن‌ها برای تکمیل پوشش خود، حساب‌های LinkedIn و Upwork خریداری کرده و حتی برای جلسات مصاحبه، اسکریپت‌هایی با ادعای سابقه کار در پروژه‌هایی مانند Polygon Labs، OpenSea و Chainlink آماده داشتند.

ابزارهای گوگل نقش مرکزی در گردش کار این گروه داشتند؛ از جمله صفحات گسترده Google Drive برای دنبال کردن بودجه و برنامه‌ها، پروفایل‌های Chrome جهت مدیریت دسترسی به حساب‌ها و Google Translate برای رفع موانع زبانی بین کره‌ای و انگلیسی. همچنین مستنداتی درباره اجاره رایانه و پرداخت‌های سرویس‌های VPN جهت ساخت حساب‌های جدید آنلاین، روی این دستگاه یافت شد.

این شبکه هکری برای مخفی نگه داشتن موقعیت جغرافیایی خود و کنترل هدف‌ها به نرم‌افزارهای دسترسی راه دور مانند AnyDesk تکیه داشت. لاگ‌های VPN نشان دادند که مهاجمان ترافیک داده را از مناطق مختلف عبور می‌دادند تا IP کره شمالی خود را پنهان کنند. این روش‌ها، دسترسی بی‌واسطه به مخزن‌ کدها، سیستم‌های پشتیبان و زیرساخت کیف‌پول را برای آن‌ها امکان‌پذیر و ریسک انتساب را به حداقل می‌رساند.

کارشناسان سرمایه‌گذاری بارها نسبت به تاکتیک استخدام نیروهای دورکار از کره شمالی برای نفوذ به اکوسیستم رمزارز هشدار داده‌اند. ایجاد دسترسی ویژه ‌به محیط‌های حساس توسعه از طریق موقعیت‌های شغلی آزاد (Freelance)، نقطه شروع افشای این گروه بوده است. اسناد یافته‌شده نشان می‌دهد که نت‌برداری مصاحبه‌ها و محتواهای آماده برای نمایش در حین گفتگو با کارفرما بخشی از راهبرد مهندسی اجتماعی پیچیده آنان بوده است.

علاوه بر ماجرای Favrr، شواهد بیشتر از تحقیق‌های این تیم درباره استقرار توکن در بلاک‌چین‌های مختلف، بررسی شرکت‌های AI در اروپا و یافتن اهداف رمزارزی جدید حکایت دارد. این پرونده به صرافی‌ها، بازارهای توکن و پروژه‌های بلاک‌چین بار دیگر اهمیت اعتبارسنجی دقیق نیروی دورکار، کنترل چندلایه دسترسی، پایش مداوم مخزن کد و مراقبت تخصصی از امنیت کیف‌پول را به منظور پیشگیری از نفوذ داخلی گوشزد می‌کند.

در جمع‌بندی، ماجرای Favrr و دستگاه افشا‌شده نشان‌دهنده فعالیت‌های هماهنگ و زیرک یک گروه تهدیدگر است که با بهره‌گیری از مهندسی اجتماعی، هویت‌های خریداری‌شده و ابزارهای ابری متداول به نفوذ در شرکت‌های رمزارزی می‌پردازند. جداسازی سطوح دسترسی توسعه، اعتبارسنجی قوی هویت و پایش حرکات غیرعادی کیف‌پول، از مهم‌ترین تدابیر برای مقابله با حملات مشابه در آینده محسوب می‌شود.