كشف 100 عميل من كوريا الشمالية داخل شركات Web3 عبر مبادرة Ethereum
نجح مشروع Ketman، الذي يعمل تحت مظلة برنامج ETH Rangers الأمني التابع لمؤسسة Ethereum، في تحديد ما يقرب من 100 عامل تقني من كوريا الشمالية متسللين داخل شركات Web3 باستخدام هويات مزيفة. وجاء هذا الاكتشاف، الذي يعد من أحدث أخبار Ethereum، ثمرة تحقيق استمر ستة أشهر، وانتهى بواحد من أكثر الإحصاءات العامة تفصيلاً لعمليات التسلل الداخلي من قبل جمهورية كوريا الشعبية الديمقراطية في تاريخ هذا القطاع.
لقد شهد نموذج التهديد تحولاً جذرياً؛ فبينما كانت عمليات الكريبتو الحكومية في كوريا الشمالية تركز سابقاً على الثغرات عن بُعد واختراق المنصات، أصبح نمط عام 2025 يعتمد على التسلل المنسق للقوى العاملة. حيث يجتاز هؤلاء العملاء إجراءات الفحص في الموارد البشرية، ويصلون إلى مستودعات الأكواد الداخلية، ويعملون ضمن فرق تطوير المنتجات لعدة أشهر قبل اكتشافهم.
- تحديد العملاء: رصد نحو 100 عامل تقني من كوريا الشمالية يستخدمون هويات مزيفة داخل شركات Web3.
- مدة التحقيق: ستة أشهر، أجراها مشروع Ketman بدعم من برنامج ETH Rangers.
- نطاق البرنامج: موّل برنامج ETH Rangers نحو 17 باحثاً مستقلاً، واستعاد أو جمد 5.8 مليون دولار من الأموال المستغلة، وتتبع أكثر من 785 ثغرة أمنية، وتعامل مع 36 استجابة للحوادث.
- حجم سرقات كوريا الشمالية: سُرقت 2.02 مليار دولار في عام 2025 وحده – بزيادة قدرها 51% عن عام 2024 – مما رفع إجمالي المبالغ المسروقة إلى 6.75 مليار دولار.
- اختراق Drift Protocol: نفذ مهاجمون مرتبطون بكوريا الشمالية عملية استغلال بقيمة 285 مليون دولار في 1 أبريل 2026، وهو أكبر اختراق للتمويل اللامركزي (DeFi) في ذلك العام.
- حالة واقعية: أصدرت منصة التداول Stabble تنبيهاً بشأن السحب بعد تسلل عامل تقني من كوريا الشمالية إلى فريق قيادتها.
- المتابعة: يراقب المحققون بنشاط عوائد اختراق Drift؛ ومن المتوقع أن تشتد الرقابة التنظيمية على فحص الموظفين في قطاع DeFi.
أخبار Ethereum: كيف سار تحقيق الكريبتو الخاص بـ ETH Rangers – وماذا يعني وجود 100 عميل كوري شمالي
انطلق برنامج ETH Rangers في أواخر عام 2024 عبر شراكة بين مؤسسة Ethereum وSecureum وThe Red Guild والتحالف الأمني (SEAL)، حيث تم نشر 17 باحثاً أمنياً مستقلاً بمهام استمرت ستة أشهر لتعزيز دفاعات نظام Ethereum البيئي.
كان مشروع Ketman أحد تلك الجهود الممولة، وتجاوزت مخرجاته نطاق التدقيق التقليدي أو برامج مكافآت الثغرات.
إن تحديد 100 عميل يعني مطابقة الهويات المزيفة مع أنماط العمل المعروفة لكوريا الشمالية: تواريخ عمل غير متسقة، سلوكيات تواصل توحي بإخفاء المنطقة الزمنية، توجيه المدفوعات عبر وسطاء محددين، وبصمات تقنية تتكرر عبر متقدمين غير مرتبطين ببعضهم. هذا عمل استخباراتي بامتياز، وليس مجرد بحث أمني.
ويتطلب ذلك مراقبة مستمرة عبر لوحات الوظائف، ونشاط GitHub، ومسارات التوظيف، والإشارات السلوكية داخل الفرق الحالية.
حقق برنامج ETH Rangers الأوسع نتائج ملموسة تتخطى عمل Ketman؛ حيث استعاد المشاركون أو جمدوا أكثر من 5.8 مليون دولار من الأموال المستغلة، وتتبعوا ما يزيد عن 785 ثغرة أمنية ونماذج لإثبات الاختراق، وأداروا 36 استجابة للحوادث، وقدموا أكثر من 80 جلسة تدريب أمني.
شملت المخرجات مفتوحة المصدر منصة لتحليل حوادث DeFi، وأداة للكشف عن حسابات GitHub المشبوهة، وإطار عمل لاختبار حجب الخدمة (DoS) من جهة العميل.
تعتبر أداة GitHub هذه ذات صلة وثيقة هنا؛ فالقدرة على كشف الحسابات المشبوهة هي بالضبط ما يلزم لإظهار المطورين المرتبطين بكوريا الشمالية الذين يعملون تحت غطاء – وهي حسابات ذات سجلات مساهمة مصطنعة، أو أنماط نشاط منسقة، أو وصول غير طبيعي للمستودعات. ومن المرجح أن نتائج Ketman اعتمدت على هذه الأدوات تحديداً.
ما لا يعنيه وجود “100 عميل”: هو أن هؤلاء الأفراد كانوا بالضرورة يديرون عمليات اختراق في الوقت الفعلي. إذ يخدم تسلل العمال التقنيين من كوريا الشمالية وظائف متعددة: توليد الإيرادات للنظام من خلال الرواتب القانونية، وجمع المعلومات الاستخباراتية حول البروتوكولات وقواعد الأكواد، والتموضع المسبق لهجمات مستقبلية.
قد يكون الضرر المالي الفوري محدوداً، لكن الانكشاف طويل الأمد يمثل خطراً هيكلياً.
لا تفوّت الفرصة
in numbers
