اختراق Bybit: استمرار الهجمات السيبرانية الضخمة من قبل جهات مرتبطة بكوريا الشمالية، بهدف تمويل برامج الأسلحة.
تواصل الجهات المرتبطة بكوريا الشمالية (DPRK) حملتها العدوانية ضد صناعة العملات المشفرة العالمية، مستغلةً الثغرات الأمنية وتقنيات الهندسة الاجتماعية المتطورة. يأتي هذا النشاط المكثف بعد عام من أكبر سرقة عملات مشفرة مؤكدة في التاريخ، والتي بلغت قيمتها حوالي 1.46 مليار دولار من بورصة Bybit التي تتخذ من دبي مقراً لها، والتي وقعت في 21 فبراير 2025.
من اللافت للنظر أن هذه الهجمات لم تقل حدتها بعد حادثة Bybit، بل ازدادت وتيرةً ونطاقاً. ففي عام 2025، تمكن مشغلو DPRK من سرقة ما قيمته 2 مليار دولار من العملات المشفرة، ليصل إجمالي المبالغ المعروفة المسروقة إلى أكثر من 6 مليارات دولار. يُعتقد أن هذه الأموال تُستخدم بشكل مباشر لتمويل برامج الأسلحة النووية والصواريخ لبيونغ يانغ.
تصاعد تهديدات الجهات المرتبطة بكوريا الشمالية
تشير الأبحاث إلى أن شهر يناير 2026 شهد ضعف عدد الاختراقات المسجلة مقارنة بنفس الشهر من العام السابق، مما يعكس التسارع المستمر في حملات السرقة. وتؤكد تقارير باحثي Elliptic أن الهندسة الاجتماعية لا تزال هي المتجه الهجومي الرئيسي في كل الحوادث الكبرى المرتبطة بـ DPRK، بدءاً من اختراق Bybit وصولاً إلى أحدث الاختراقات.
على الرغم من أن عمليات السرقة هذه تتطلب مهارات تقنية عالية، إلا أن نقطة الاختراق الأولى غالباً ما تكون بشرية. تستغل الجهات المهاجمة الآن الذكاء الاصطناعي لصياغة هويات واتصالات مقنعة، مما يجعل اكتشافها أكثر صعوبة. ومن جهة أخرى، فإن هذه الجهات تسعى جاهداً لتمرير هذه الأموال المسروقة عبر طرق ملتوية.
تم غسل أموال Bybit المسروقة عبر عناوين الاسترداد، وإنشاء رموز لا قيمة لها، واستخدام خدمات خلط متفرقة، حيث تم توجيه جزء كبير منها عبر خدمات تداول خارج البورصة (OTC) يُشتبه في ارتباطها بالصين. وبحلول أغسطس 2025، كان قد تم التعامل مع أكثر من مليار دولار. ولم يكن اختراق Bybit سوى نقطة تحول في حملة مستمرة في تكثيف وتسارع.
لم يعد التهديد يستهدف البورصات وحدها. فالمطورون، ومساهمو المشاريع، وأي شخص لديه وصول إلى البنية التحتية للعملات المشفرة، أصبحوا جميعاً معرضين للخطر. وتُعدّ الأساليب المتبعة في سرقة العملات المشفرة متطورة بشكل متزايد.
سيناريوهات الهندسة الاجتماعية المستخدمة
تستمر حملتان رئيسيتان، وهما DangerousPassword و Contagious Interview، في توليد إيرادات ثابتة للنظام. تبدأ حملة DangerousPassword بحساب تواصل عبر وسائل التواصل الاجتماعي قام الطرف الآخر باختراقه، ويتصل بالهدف، غالباً ما يشير إلى حدث مشترك سابق، ويقترح إجراء مكالمة فيديو.
عندما يتصل الضحية عبر Zoom أو Microsoft Teams، تظهر رسالة خطأ تتعلق بالصوت. الحل المفترض – وهو تثبيت حزمة تطوير برامج (SDK) عبر سطر الأوامر – يقوم في الواقع بنشر برامج ضارة تقوم بسرقة المفاتيح الخاصة، وعبارات الاستعادة، وكلمات المرور.
تستخدم حملة Contagious Interview فرص عمل وهمية لاستدراج الأهداف. خلال عملية توظيف زائفة، يُطلب من الضحايا إجراء اختبار للمهارات الفنية عبر مستودع أكواد. هذا المستودع يحتوي على برامج ضارة مخفية. بشكل جماعي، قامت هاتان الحملتان بتوليد 37.5 مليون دولار بين 1 يناير ومنتصف فبراير 2026.
أي شخص يقوم بتشغيل أكواد مصابة على جهاز تابع للشركة يعرض المؤسسة بأكملها للخطر. ويتعين على المؤسسات التحقق من جميع طلبات تثبيت البرامج، والتدقيق في هويات المساهمين عن بعد، والتعامل مع عروض العمل غير المرغوب فيها بحذر شديد. وتُظهر هذه الهجمات تحديات متزايدة في الأمن السيبراني.
تابعونا على Google News، LinkedIn، و X للمزيد من التحديثات الفورية، اجعل CSN مصدراً مفضلاً في Google.