كشفت تقارير أمنية حديثة عن حملة احتيال توظيف متطورة تقف خلفها كوريا الشمالية، وتستهدف مطوري الذكاء الاصطناعي والمهندسين وخبراء العملات المشفرة في الولايات المتحدة من خلال منصة وظائف مزيفة مصممة بإتقان.
فريق بحث Validin للأمن السيبراني اكتشف هذا المتغير الجديد، الذي أطلق عليه عملية “المقابلة المعدية” (Contagious Interview)، والتي تهدف إلى اختراق الباحثين عن عمل عبر عملية توظيف تبدو شرعية تمامًا.
تستخدم الحملة منصة وظائف حديثة مبنية على React و Next.js، ومستضافة على النطاق lenvny[.]com. تحاكي المنصة المواقع الإلكترونية لشركات تقنية كبرى وبرامج التوظيف، وتتميز بلمسة احترافية وموثوقية عالية.
تقدم المنصة نفسها كـ “أداة مقابلة متكاملة مدعومة بالذكاء الاصطناعي”، مصممة لفرق التوظيف. يتميز الموقع بواجهة تسويقية مصقولة، وتصميم يعتمد على التدرجات اللونية، وعلامة تجارية اصطناعية تم نسجها بعناية لتعكس المظهر المتوقع لصناعات الذكاء الاصطناعي والتكنولوجيا في عام 2025.
هذا المستوى من التعقيد يمثل تصعيدًا ملحوظًا مقارنة بمحاولات التوظيف السابقة المرتبطة بكوريا الشمالية، والتي كانت تعتمد غالبًا على نماذج تسجيل دخول بسيطة أو صفحات تصيد احتيالي بدائية.
تضم المنصة عشرات المسارات، وقوائم وظائف يتم إنشاؤها ديناميكيًا، وسير عمل تقديم طلبات كامل يعكس أنظمة التوظيف الحديثة، مما يجعلها مقنعة للغاية للمرشحين غير الحذرين.
تكتيكات الاحتيال في منصات الوظائف الوهمية
حدد محللو Validin البرمجيات الخبيثة بعد الفقرة الثانية، مشيرين إلى أن العملية تتبع نمط إصابة محدد: تبدأ الحملة برسالة عبر LinkedIn تؤدي إلى عملية مقابلة، ومن ثم يطلب من المرشحين تسجيل ردود فيديو، ثم يطلب منهم “إصلاح الويب كام” باستخدام أداة مساعدة.
هذه الخطوة، التي تبدو بسيطة وغير ضارة، تقوم في الواقع بتوصيل برمجيات خبيثة مباشرة إلى نظام الهدف.
آلية العدوى
تعمل آلية العدوى من خلال ما يسميه باحثو الأمن تقنية “ClickFix”، وهي نهج هندسة اجتماعية يخدع المستخدمين لتنزيل برامج ضارة أثناء محاولتهم حل مشاكل تقنية.
عندما يزور المرشحون المنصة، يصادفون قوائم وظائف مصممة خصيصًا لجذب الأهداف ذات القيمة العالية في قطاعات الذكاء الاصطناعي والعملات المشفرة.
تبدو عملية تقديم الطلب أصيلة، وتتضمن مقابلات فيديو وتقييمات تقنية تتطلب من المستخدمين تشغيل أكواد أو نصوص برمجية على أجهزتهم.
يستغل ناقل الهجوم هذا ممارسات التوظيف عن بعد الشائعة في صناعات التكنولوجيا، حيث تعتبر المقابلات عبر الفيديو واختبارات البرمجة المنزلية إجراءات قياسية.
تستهدف كوريا الشمالية هذه الفئة من المهنيين بشكل خاص لأن باحثي الذكاء الاصطناعي ومحترفي العملات المشفرة يوفرون الوصول إلى أصول وخبرات قيمة.
يمتلك مطورو الذكاء الاصطناعي إمكانية الوصول إلى أبحاث خاصة، وأوزان نماذج، وبنية تحتية للاستدلال، بينما يعمل محترفو العملات المشفرة غالبًا في بيئات تدير أصولًا رقمية عالية القيمة.
بالإضافة إلى ذلك، عادة ما يحتفظ الأفراد في هذه المجالات بمحطات عمل تتمتع بصلاحيات نظام مرتفعة، وبيئات تطوير، وأدوات مخصصة تزيد من معدلات نجاح تنفيذ الحمولة الأولية.
يجب على الباحثين عن عمل التحقق من أن صفحات التوظيف الخاصة بالشركات مستضافة على نطاقات رسمية وتجنب تحميل المستندات الشخصية على منصات غير موثوقة.
عند طلب تنفيذ أكواد أثناء المقابلات، يجب على المرشحين مراجعة النصوص بعناية وتشغيل أي أكواد غير مألوفة دائمًا داخل آلات افتراضية أو بيئات معزولة بدلاً من تشغيلها مباشرة على محطات العمل الأساسية الخاصة بهم.