إليكم كيف تمكن عملاء المخابرات الكورية الشمالية، وفقًا لأحد الباحثين، من اختراق بروتوكولات التشفير الرئيسية.

أمضى عملاء مرتبطون بكوريا الشمالية سنوات في التسلل بهدوء إلى شركات العملات المشفرة ومشاريع التمويل اللامركزي.

ملحمة طويلة من التسلل بالعملات المشفرة

تتسم الأخبار والتقارير الواردة من جمهورية كوريا الديمقراطية الشعبية عادةً بطابع أفلام الحركة ونظريات المؤامرة. ومع ذلك، غالباً ما تكون هذه الأخبار والتقارير صادقة وغير مبالغ فيها على الإطلاق.

هذه المرة، ادعى الباحث الأمني ​​ومطور MetaMask تايلور موناهان في منشور يوم الأحد على شبكة التواصل الاجتماعي X أن هذه الأساليب تعود إلى السنوات التكوينية لـ DeFi، حيث ساهمت الكيانات المرتبطة بكوريا الشمالية بهدوء في العديد من البروتوكولات البارزة والمستخدمة على نطاق واسع.

نعم

لقد قام العديد من علماء الحاسوب في كوريا الشمالية بإنشاء البروتوكولات التي تعرفها وتحبها منذ صيف التعريف.

إنّ "خبرة سبع سنوات في تطوير تقنية البلوك تشين" المذكورة في سيرتهم الذاتية ليست كذبة. https://t.co/EQNgl5KhJ5

— تاي (@tayvano_) 5 أبريل 2026

ويزعم أن مهندسي تكنولوجيا المعلومات الكوريين الشماليين يعملون بهدوء على أكثر من 40 مشروعًا من مشاريع التمويل اللامركزي (DeFi) منذ حوالي سبع سنوات، بما في ذلك البروتوكولات التي برزت بعد صيف التمويل اللامركزي.

يا إلهي، مثل السوشي، سلسلة، يام، مخلل، حصاد، استعادة، تأرجح، مدفوع، ناوس، شيزمو، كرولي، زعفران، سيفو، نابير، انسجام، توت أزرق، ستابل، خاتم واحد، عنصري، ديفي، رمز لا، إمبيرماكس، كيرا، شيف، فانتوم، أنكر، غامرس، ميتابلاي، توابل، حبة سحرية، دلتابرايم،…

— تاي (@tayvano_) 5 أبريل 2026

غالباً ما يمتلك هؤلاء العمال خبرة "حقيقية" في مجال البلوك تشين (سبع سنوات من تطوير البلوك تشين) لكنهم يعملون بهويات مسروقة أو مصطنعة، وينضمون إلى الفرق من خلال قنوات التوظيف العادية.

تأتي منشوراته رداً على تيم، وهو مطور يستخدم اسماً مستعاراً وواجهة عامة لشركة تيتان، وهي مشروع تجميع وتوجيه DEX قائم على سولانا، والذي يدعي أنه في وظيفة سابقة أجروا مقابلة مع مرشح مؤهل تأهيلاً عالياً تبين لاحقاً أنه عميل لجماعة لازاروس، وهي جماعة تابعة لكوريا الشمالية قامت بغسل مليارات الدولارات من الأموال المسروقة من خلال شبكات العملات المشفرة.

في وظيفة سابقة، أجرينا مقابلة مع شخص تبين أنه عميل لشركة لازاروس. كان يجري مكالمات فيديو وكان ماهراً للغاية.

لقد دعوناه لإجراء مقابلة شخصية، لكنه رفض في النهاية الحضور، لذلك انسحبنا.

لم نعثر على اسمه في أرشيف معلومات لازاروس إلا لاحقًا… https://t.co/Vnvffrkjee

— تيم | تيتان (@timahhl) 5 أبريل 2026

ردّ خبير العملات المشفرة المعروف ZachXBT على منشور تيم، موضحًا أن الأمر لا يقتصر على "Lazarus" فحسب، بل هو شبكة من الوحدات الكورية الشمالية (Lazarus، APT38، AppleJeus، وغيرها) تُنسقها هيئة الاستطلاع العامة، وهي مُصممة خصيصًا لارتكاب الجرائم الإلكترونية المالية. وتعتمد أساليبهم على التواصل "البسيط والمتواصل" عبر لينكدإن، ومواقع التوظيف، والمقابلات، وزووم، بالإضافة إلى وظائف التطوير عن بُعد التي لا تزال الفرق تمنحها بسهولة بالغة.

مجموعة لازاروس هي الاسم الجماعي لجميع الجهات الفاعلة الإلكترونية المدعومة من الدولة في جمهورية كوريا الديمقراطية الشعبية.

المشكلة الرئيسية هي أن الجميع يميلون إلى تجميعها معًا، بينما في الواقع يختلف مدى تعقيد التهديدات.

التهديدات عبر إعلانات الوظائف، أو لينكدإن، أو البريد الإلكتروني، أو زووم، أو المقابلات، هي تهديدات سطحية وليست بأي حال من الأحوال… pic.twitter.com/NL8Jck5edN

— ZachXBT (@zachxbt) ٥ أبريل ٢٠٢٦

تشير العقوبات الأخيرة التي فرضها مكتب مراقبة الأصول الأجنبية التابع لوزارة الخزانة الأمريكية (OFAC) ونتائج Chainalysis إلى أن شبكات الكمبيوتر في كوريا الشمالية حققت 800 مليون دولار في عام 2024 وحده، وقامت بتحويل مليارات الدولارات من العملات المشفرة المسروقة منذ عام 2017، مما أدى إلى تمويل برامج أسلحة الدمار الشامل والصواريخ.

معلومات جديدة حول الهجوم التشفيري على بروتوكول دريفت.

أدى اختراق بروتوكول دريفت الذي بلغت قيمته 285 مليون دولار في الأول من أبريل إلى إعادة إشعال المخاوف من التهديدات الداخلية من كوريا الشمالية، خاصة بعد أن أكد البروتوكول نفسه يوم السبت صحة التكهنات التي تربط الهجوم بمجموعات القرصنة الكورية الشمالية.

https://t.co/qYBMCup9i6

— دريفت (@DriftProtocol) ٥ أبريل ٢٠٢٦

وقد نسبوا الهجوم "بدرجة متوسطة من اليقين" إلى UNC4736، وهي مجموعة قرصنة مدعومة من الدولة ومتحالفة مع كوريا الشمالية.

ذكر البروتوكول أن المهاجمين اعتمدوا على استراتيجية هندسة اجتماعية مُحكمة: هويات مهنية مزيفة، وتفاعلات مباشرة في المؤتمرات، وأدوات تطوير مُفخخة لاختراق المتعاونين قبل تنفيذ الثغرة. انتحل المهاجمون صفة شركة تجارية شرعية، والتقوا شخصيًا بمتعاوني دريفت في بلدان مختلفة، واستخدموا هويات مُختلقة بالكامل مع سجلات عمل وشبكات مهنية قبل تفعيل الثغرة.

استغل المهاجمون أدوات التطوير الشائعة عن طريق حقن أنشطة خبيثة في إعدادات VS Code وCursor، ونشروا مستودعًا مخترقًا قام المتعاونون بتشغيله محليًا دون علمهم. كل هذه العناصر مجتمعة تجعل الحادث أقرب إلى اختراق داخلي لسلسلة التوريد منه إلى مجرد اختراق لعقد ذكي.

في اليوم التالي للهجوم، ربط تشارلز غيليمون، كبير مسؤولي التكنولوجيا في شركة ليدجر، أسلوب الهجوم باختراق منصة بايبت بقيمة 1.4 مليار دولار ، والذي نُسب إلى وحدات الأمن السيبراني التابعة للنظام. وفي يوم الجمعة، نشرت شركة إليبتك لتحليلات البلوك تشين تحقيقًا يفيد بأن سلوك الشبكة، وأساليب غسيل الأموال، ومؤشرات مستوى الشبكة تتطابق مع تقنيات رُصدت في عمليات سابقة مرتبطة بكوريا الشمالية. وقد غطى موقع بيتكوينيست الخبر.

الآثار السوقية

أصبح هذا الحادث الإلكتروني يشكل خطراً بنيوياً على الأمن القومي. وقد بدأت الهيئات التنظيمية وسلطات العقوبات بالفعل بتكثيف التدقيق في شبكات الحاسوب في كوريا الشمالية، ومن المرجح أن تتبع ذلك إجراءات إنفاذ أكثر صرامة.

تُشكل انتهاكات حقوق الإنسان واسعة النطاق المرتبطة بالدولة مخاطر كامنة للبروتوكول: ارتفاع أقساط التأمين، وإمكانية شطب الإدراج، ونزاعات الحوكمة الداخلية بشأن التعويض، وفترات مخاطر أطول لرموز التمويل اللامركزي وأحجام المعاملات غير المشروعة.

صورة الغلاف من تصميم بيربلكسيتي. رسم بياني لزوج BTCUSDT من تصميم تريدينج فيو.