تصور کنید در حال انجام یک مصاحبه شغلی در حوزه رمزارز هستید. شرکت، معتبر به نظر می‌رسد، وب‌سایت حرفه‌ای دارد و فرصت فوق‌العاده‌ای پیش روی شماست. اما ناگهان، پشت این ویترین جذاب، دروازه‌ای به بدافزار و جاسوسی سایبری باز می‌شود — دقیقاً همان چیزی که اخیرا در کمپین جدید کره شمالی اتفاق افتاده است.

🎯سناریویی جدید از تهدیدات سایبری کره شمالی

تحقیقات جدید شرکت امنیتی Silent Push نشان می‌دهد که گروه‌های وابسته به کره شمالی، تحت پروژه‌ای به نام Contagious Interview، سه شرکت ساختگی در زمینه مشاوره رمزارز راه‌اندازی کرده‌اند:

• BlockNovas LLC (blocknovas[.]com)
• Angeloper Agency (angeloper[.]com)
• SoftGlide LLC (softglide[.]co)

این شرکت‌های جعلی با پیشنهاد کار و انجام مصاحبه‌های فریبنده، موفق به توزیع بدافزارهای قدرتمندی مانند BeaverTail، InvisibleFerret و OtterCookie شده‌اند.

🚨حمله از طریق مصاحبه‌های آنلاین

در طول فرآیند به ظاهر معمولی استخدام، قربانیان به انجام پروژه‌های کدنویسی یا تنظیمات دوربین دعوت می‌شوند. اینجاست که بدافزار وارد عمل می‌شود:

• BeaverTail اطلاعات سیستم را سرقت کرده و یک backdoor باز می‌کند.
• InvisibleFerret روی ویندوز، لینوکس و macOS پایداری ایجاد می‌کند.
• OtterCookie داده‌های مرورگر و فایل‌های حساس را شکار می‌کند.

نکته جالب اینجاست که این حملات به گونه‌ای طراحی شده‌اند که کاملاً با فعالیت‌های واقعی استخدامی آمیخته شوند.

سایر مقالات: حمله‌ هوشمندانه AkiraBot به بیش از ۴۲۰ هزار وب‌سایت و ارسال اسپم

استفاده از هوش مصنوعی برای ساختن دنیای جعلی

مهاجمان کره شمالی این بار پا را فراتر گذاشته‌اند:

• تولید تصاویر پروفایل جعلی با ابزارهای هوش مصنوعی مانند Remaker
• استفاده از VPN، پراکسی و سرورهای VPS برای مخفی کردن منشأ حملات
• راه‌اندازی سایت‌های فریبنده و ابزارهایی مثل Kryptoneer برای سرقت کیف پول‌های رمزارز

نقش روسیه در این سناریوی سایبری

بررسی‌های فنی نشان می‌دهد مهاجمان از آی‌پی‌های روسیه (مناطق خاسان و خاباروفسک) برای اجرای این حملات استفاده کرده‌اند. این نزدیکی جغرافیایی به مرز کره شمالی، احتمال همکاری یا زیرساخت مشترک بین این دو کشور را مطرح می‌کند.

پایان بازی: ورود FBI

در آوریل ۲۰۲۵، دامنه‌ی BlockNovas توسط FBI توقیف شد. این اقدام ضربه‌ی مهمی به این عملیات سایبری بود، اما تحلیلگران هشدار می‌دهند که شیوه‌های مشابه ممکن است توسط سایر گروه‌های تهدید نیز مورد استفاده قرار گیرد.

تهدیدی فراتر از بدافزار: پروژه Wagemole

در کنار کمپین Contagious Interview، پروژه‌ی دیگری به نام Wagemole نیز در جریان است. در این روش، افراد وابسته به کره شمالی با استفاده از پروفایل‌های جعلی، در شرکت‌های بین‌المللی مشغول به کار شده و اطلاعات حساس را به دست می‌آورند.

🧠سوال مهم: چطور از خودمان در برابر این حملات محافظت کنیم؟

در برابر حملات پیچیده‌ای همچون کمپین Contagious Interview، توجه به این نکات ضروری است:

🔒 بررسی دقیق شرکت‌ها: اگر برای مصاحبه شغلی یا همکاری دعوت شدید حتماً دامنه وب‌سایت، آدرس ایمیل، سابقه لینکدین و اطلاعات ثبت شرکت را بررسی کنید. شرکت‌های جعلی معمولاً سابقه ضعیف دارند و یا تازه‌تاسیس هستند.

🔒 احتیاط در دانلود فایل‌ها:  هرگز بدون بررسی و تایید، فایل‌هایی که از طریق مصاحبه یا ایمیل دریافت می‌کنید را باز نکنید. حتی اگر فایل مربوط به یک تست استخدامی باشد.

🔒 استفاده از آنتی‌ویروس قوی و به‌روز: نرم‌افزارهای امنیتی می‌توانند بسیاری از بدافزارها را قبل از اجرا شناسایی و مسدود کنند.

🔒 فعال کردن احراز هویت دومرحله‌ای (2FA) : به‌خصوص برای اکانت‌های حساس کاری یا کیف پول‌های رمزارزی احراز هویت دو مرحله ای را فعال کنید.

🔒 آگاهی امنیتی: آموزش مستمر درباره حملات مهندسی اجتماعی و بدافزارهای جدید باعث می‌شود کمتر فریب چنین کمپین هایی را بخورید.

🔒 استفاده از شبکه‌های امن: هرگز مصاحبه یا ارتباط کاری مهم را از طریق وای‌فای عمومی بدون VPN انجام ندهید.