علمات كتمان المدعومة من إيثريوم تكشف عن تسلل واسع النطاق من كوريا الشمالية عبر التوظيف في العملات الرقمية

تحقيق جديد تدعمه مؤسسة إيثريوم يسلط الضوء من جديد على مشكلة أمنية طويلة الأمد في عالم العملات الرقمية: عملاء كوريا الشمالية يتظاهرون بأنهم مطورون عن بُعد شرعيون. في ملخص حديث لمؤسسة إيثريوم ETH Rangers، قالت المنظمة إن أحد المستفيدين الممولين استخدم المنحة لبناء وتوسيع مشروع Ketman، وهو مشروع استخبارات التهديدات يركز على كشف عمال تكنولوجيا المعلومات من كوريا الشمالية داخل مشاريع البلوكشين. وأشار الملخص إلى أن الفريق تواصل مع حوالي 53 مشروعًا وتعرف على حوالي 100 من عمال تكنولوجيا المعلومات من كوريا الشمالية يعملون ضمن منظمات Web3.

ظهرت النتائج بعد أن أشار المعلق على العملات الرقمية كولين وو إلى التقرير على منصة X، قائلاً إن المراجعة أظهرت أن Ketman اكتشف حوالي 100 هاكر من كوريا الشمالية يتسللون إلى مشاريع العملات الرقمية. كما أشار منشوره إلى تقارير تقول إن العملاء غالبًا ما يستخدمون هويات يابانية مزورة للحصول على وظائف عن بُعد في Web3، وهو تفصيل يتوافق مع النمط الذي وصفه تقرير Ketman نفسه حول التسلل إلى منصات العمل الحر.

يصف التقرير العام لـ Ketman، المنشور في 16 أبريل 2025، كيف بدأ التحقيق مع جهة مشبوهة في مستودع مطور شرعي وتوسع ليشمل مجموعة أوسع مرتبطة بنظام العمل الحر فقطDust. كتب الباحثون أنهم لاحظوا أولاً تلاعبًا بتاريخ الحساب، ونشاطًا مزعجًا، وتغييرات مشبوهة في الهوية، وغيرها من العلامات الحمراء، ثم تتبعوا تلك الحسابات إلى شبكة أوسع من المساهمين الذين يعملون عبر مستودعات متعددة. وفي التقرير، يقول Ketman إنه اكتشف جهات فاعلة تستخدم أسماء مستعارة متعددة، وهويات مزيفة، وحتى وثائق مزورة كجزء من عملية التوظيف.

تنبيه أمني في عالم العملات الرقمية

واحدة من أكثر أجزاء تقرير Ketman إثارة للدهشة هي الادعاء بأن بعض الجهات المشتبه بها قدموا أنفسهم على أنهم يابانيون، على الرغم من أن الباحثين استنتجوا في النهاية أنهم مرتبطون بنشاط مرتبط بكوريا الشمالية. يقول التقرير إن أحد الأفراد استخدم عدة أسماء وادعى أنه ياباني، بينما أشار الفريق أيضًا إلى وثيقة يابانية مزورة تم استخدامها خلال عملية التحقق. ويقول Ketman إن هذا النوع من غسيل الهوية يمكن أن يساعد المساهمين المشبوهين على بناء مصداقية، وجمع المدفوعات، واستخدام تلك الخبرة لاحقًا للانتقال إلى أدوار أكثر حساسية.

أطر ملخص مؤسسة إيثريوم هذا العمل كجزء من جهد أمني أوسع بدلاً من تحقيق استثنائي. بجانب نتائج Ketman، قال ملخص ETH Rangers إن البرنامج بشكل عام استعاد أو جمد أكثر من 5.8 مليون دولار، ووثّق أكثر من 785 ثغرة أمنية، وحدد حوالي 100 عميل مدعوم من الدولة عبر النظام البيئي. يساعد هذا السياق على فهم سبب تعامل المؤسسة مع هذا النوع من التهديدات كمشكلة تشغيلية خطيرة لفرق Web3، وليس مجرد مشكلة بحثية متخصصة.

كما جادل Ketman علنًا بأن على الفرق التحقق من العاملين عن بُعد بشكل أكثر حزمًا، بما في ذلك من خلال مكالمات فيديو وفحص أدق للتناقضات في السلوك أو ادعاءات الهوية. يقول التقرير إن مستندات KYC وحدها ليست كافية، ويوصي بخطوات تحقق تتجاوز الأوراق الثابتة. يأتي هذا التحذير في عام لا تزال فيه السلطات الأمريكية تتابع نشاط عمال تكنولوجيا المعلومات من كوريا الشمالية كمصدر تهديد متطور، بما في ذلك الابتزاز بالبيانات وأشكال أخرى من الإساءة المرتبطة بعمليات الاحتيال على التوظيف عن بُعد.

بالنسبة لشركات العملات الرقمية الناشئة، فإن الرسالة غير مريحة لكنها واضحة. لم يعد التسلل المرتبط بكوريا الشمالية مشكلة اختراق على حافة الشبكة فقط. بل هو أيضًا مشكلة توظيف، وفحص المقاولين، ومشكلة ثقة داخل الفرق التي تعتمد على التعاون عن بُعد. تشير نتائج Ketman إلى أن السير الذاتية المزيفة، وتاريخ GitHub المصقول، وشخصيات المقابلات المقنعة يمكن أن تتسلل حتى الآن إلا إذا شددت المشاريع من إجراءات التحقق من المطورين قبل منحهم الوصول إلى الكود، أو الأموال، أو الاتصالات الداخلية.