امضای چندگانه انسانی: شکست نفوذ رمزنگاری کره شمالی

کتابچه راهنمای امنیت تغییر کرده است.

هک‌های brute-force هنوز وجود دارند، اما تهدید تیزتر امروزی بیشتر شبیه به یک مدل عامل خفته صنعتی‌شده است:

عوامل مخرب درون تیم‌ها، جریان‌های کاری و سیستم‌های دسترسی نفوذ می‌کنند و منتظر مناسب‌ترین لحظه برای حمله می‌مانند.

این موضوع باعث می‌شود استخدام چیزی فراتر از جستجوی استعداد باشد. هر استخدام فنی جدید به یک تصمیم اعتماد تبدیل می‌شود که با ریسک واقعی در ترازنامه همراه است. یک توسعه‌دهنده آلوده، یک پیمانکار بررسی‌نشده یا یک عامل داخلی می‌تواند مدارک استخدام را به میلیون‌ها دلار ارزش قفل‌شده تخلیه‌شده (TVL) تبدیل کند.

ثروت‌های زیادی صرف ممیزی قراردادهای هوشمند می‌شود، اما مخرب‌ترین نقض امنیتی امروز در پشتی انسانی است، مسیری مستقیم که هیچ ممیزی نرم‌افزاری قادر به شناسایی یا مسدود کردن آن نیست.

 

سوءاستفاده از هر آسیب‌پذیری

برای یک صرافی رمزارز یا پروتکل امور مالی غیرمتمرکز (DeFi)، هر استخدام جدید در واقع یک معامله با اهرم بالا است. وثیقه آن دارایی‌ها و اعتبار برند کاربران است.

گروه‌های تحت حمایت دولت کره شمالی مانند گروه لازاروس استراتژی عامل خفته را صنعتی کرده‌اند. تاکتیک‌های آن‌ها به تله‌های پیچیده استخدام‌کننده جعلی تغییر یافته است که قلب صنعت رمزارز را هدف قرار می‌دهد.

فرهنگ دورکاری‌محور رمزارز عملاً این استراتژی را مؤثرتر می‌کند، زیرا تنها دیوار آتش امنیتی، بخش منابع انسانی (HR) است. در نتیجه، بخش‌های HR باید به سرعت یاد بگیرند که این عوامل چگونه از دفاع‌های فنی عبور کرده و به تیم‌ها نفوذ می‌کنند.

آن‌ها باید یک فرآیند استخدام بدون اعتماد (zero-trust) ایجاد کنند تا نه تنها از دارایی‌ها و برند، بلکه از چشم‌انداز سازمان محافظت کنند.

 

از پروتکل‌ها تا افراد

طبق گزارش Chainalysis، عوامل تهدید کره شمالی در سال ۲۰۲۵ مبلغ بی‌سابقه ۲.۰۲ میلیارد دلار رمزارز سرقت کردند. این رقم ۵۱٪ افزایش سالانه داشت و بخش قابل توجهی از آن به دسترسی مشابه عوامل داخلی نسبت داده شد.

استراتژی جدید نفوذ از بالادست است.

به جای نفوذ به شرکت، آن‌ها به سادگی برای شغل درخواست می‌دهند. پس از ورود، عامل ماهر می‌تواند به راحتی شبکه داخلی را نقشه‌برداری کرده و تمام کیف‌پول‌های داغ را شناسایی کند. نتیجه نه تنها از دست رفتن سرمایه بلکه تخریب کامل منطق پروتکل است.

این تغییر با مهندسی اجتماعی و دستکاری زیرساخت ویرانگر به بهترین شکل نشان داده می‌شود که امنیت صرافی‌ها و پروتکل‌ها را بازتعریف کرده است.

در فوریه ۲۰۲۵، گروه لازاروس محیط توسعه زیرساختی که Bybit به آن متکی بود را آلوده کرد. آن‌ها کد مخربی را در رابط کیف‌پول تزریق کردند و اپراتورها را فریب دادند تا امضاهای کور انجام دهند که به نظر «انتقال‌های معمولی» می‌رسید.

این موضوع منجر به از دست رفتن ۱.۵ میلیارد دلار شد و یک آسیب‌پذیری حیاتی را برجسته کرد. امنیت یک صرافی به اندازه صداقت افرادی که خط تولید آن را مدیریت می‌کنند قوی است.

در آوریل ۲۰۲۶، Kelp، یک سازمان خودگردان غیرمتمرکز (DAO)، دچار یک نفوذ ۲۹۲ میلیون دلاری شد که به زیرگروه TraderTraitor از لازاروس مرتبط بود. تحقیقات نشان داد که مهاجمان به عنوان مشارکت‌کنندگان در پروژه نفوذ کرده بودند.

آن‌ها فرآیند تأیید پروتکل را آلوده کرده و باعث انتقال به زیرساخت مخرب شدند.

این یادآوری جدی است که غیرمتمرکز بودن به معنای غیرقابل هک بودن نیست اگر مشارکت‌کنندگان اصلی آلوده شوند. این یک درس هشداردهنده است که یک پروتکل فقط به اندازه صداقت برنامه‌نویسانش تغییرناپذیر است.

 

کالبدشکافی تله

نفوذ مدت‌ها پیش از اولین تماس زوم آغاز می‌شود.

• مهاجمان تاریخچه‌های دیجیتال کامل ایجاد می‌کنند تا مدرک کار ارائه دهند که حتی سخت‌گیرترین استخدام‌کنندگان را قانع کند.

• عوامل معمولاً از شرکت‌های سرمایه‌گذاری خطرپذیر (VC) یا استخدامی جعلی برای ایجاد سابقه‌ای یک‌ساله استفاده می‌کنند. این موارد می‌تواند شامل وبلاگ‌های فنی، تأییدیه‌های لینکدین و کامیت‌های گیت‌هاب باشد.

آن‌ها فقط به ارسال رزومه بسنده نمی‌کنند. بلکه یک زندگی دیجیتال انتخاب‌شده و تقویت‌شده با هوش مصنوعی ارائه می‌دهند که شبیه به یک متخصص رمزارز سطح بالا به نظر می‌رسد.

در موارد دیگر، عامل در نقش یک استخدام‌کننده از یک صرافی یا شرکت VC معتبر ظاهر می‌شود. آن‌ها به توسعه‌دهندگان فعلی پروژه با پیشنهاد شغلی نزدیک می‌شوند که نیاز به آزمون فنی دارد. در واقع، این یک حقه است که به عنوان مکانیزم انتقال بدافزار عمل می‌کند.

این همان چیزی است که در مورد Veltrix Capital اتفاق افتاد، که یک شرکت استخدام واقعی نبود. این شرکت برای فریب توسعه‌دهندگان رمزارز به فرآیند درخواست جعلی طراحی شده بود تا پروژه مهندسی اجتماعی خود را آغاز کند.

 

آزمون‌های کدنویسی به‌عنوان اسب تروجان

مرحله ارزیابی فنی نقطه ورود نهایی به امنیت کیف‌پول یک پروژه رمزارز است. در فرآیند استخدام استاندارد، معمول است که نامزد یک مخزن کد را برای بررسی به توسعه‌دهنده ارشد ارسال کند.

• آلودگی وابستگی‌ها: پژوهشگران در ReversingLabs بسته‌های مخربی مانند graphalgo (در PyPI) و bigmathutils (در npm) را شناسایی کرده‌اند که به‌طور خاص در این آزمون‌ها استفاده می‌شوند.

• محموله: در لحظه‌ای که مدیر استخدام یا توسعه‌دهنده ارشد دستور npm install را اجرا می‌کند، یک اسکریپت پس از نصب اجرا می‌شود.

• نتیجه: یک تروجان دسترسی از راه دور (RAT)، اغلب نسخه‌ای از BeaverTail، نصب می‌شود. این بدافزار فوراً به دنبال افزونه مرورگر MetaMask می‌گردد و کوکی‌های نشست را استخراج می‌کند.

تحویل بدافزار کامل می‌شود. این کار به مهاجم دسترسی به Slack، GitHub و محیط‌های تولید داخلی می‌دهد.

شناسایی نشانه‌های هشدار در تماس‌ها

شناسایی عوامل کره شمالی نیاز به نادیده گرفتن مهارت‌های فنی و تمرکز بر ناهماهنگی‌ها در تماس‌های زوم دارد.

1. مراقب مشکلات فنی مداوم یا بهانه‌های پهنای باند پایین باشید که مانع حضور در دوربین در طول بحث‌های فنی عمیق می‌شود.

2. به تقلید صدای بلادرنگ با هوش مصنوعی یا تأخیرهای عجیب در پاسخ حساس باشید. این ناهماهنگی هویت و صدا زمانی رخ می‌دهد که یک نفر صحبت می‌کند و دیگری پاسخ‌های فنی را در پس‌زمینه می‌فرستد.

3. یک ناهماهنگی مهارت و تجربه آشکار وجود دارد، جایی که یک نامزد ارشد Rust در تخته‌نویسی زنده مفاهیم DeFi مشکل دارد. اگر فقط زمانی می‌تواند عملکرد داشته باشد که با تیمش مشورت کند، احتمالاً همان کسی نیست که ادعا می‌کند.

4. در نهایت، به فیلترهای دفتر خانگی ثابت یا تار توجه کنید که با نور یا حرکات فرد مطابقت ندارند. این ناهماهنگی‌های بصری اغلب نتیجه نرم‌افزارهای جعل عمیق بلادرنگ هستند که برای حفظ هویت عامل استفاده می‌شوند.

 

اشتباه انسانی

سازمان‌ها باید یک چارچوب استخدام بدون اعتماد (zero-trust) پیاده‌سازی کنند تا خزانه خود را از اشتباه انسانی محافظت کنند. چنین چارچوبی باید تأیید چندلایه و دقیق قبل از اعطای هرگونه مجوز داخلی داشته باشد.

چارچوب استخدام بدون اعتماد، استخدام مبتنی بر اعتماد را با چرخه اعتبارسنجی مقاوم در برابر تهدید جایگزین می‌کند، جایی که هیچ مدرکی تا اثبات صحت آن معتبر نیست. پروژه‌ها با تثبیت هویت‌ها و تأیید مهارت‌ها در زمان واقعی، تهدید متقاضیان مصنوعی پیشرفته را خنثی می‌کنند.

در Web3، هر استخدام یک سرمایه‌گذاری در امانت‌داری پروتکل است و در نتیجه، یک امضاکننده جدید به چندامضایی (multi-sig) سازمان اضافه می‌کند. با افزایش پیچیدگی استراتژی‌های هکرها، بخش‌های HR دورکار باید در مورد نقض‌های امنیتی آموزش ببینند و قبل از ارسال هر قراردادی، تأیید دقیق انجام دهند.

چگونه استخدام بدون اعتماد را پیاده‌سازی کنیم

امنیت عملیاتی اجتماعی (Social OpSec) چارچوبی دفاعی است که برای پاک‌سازی ردپای دیجیتال تیم طراحی شده است. این اطمینان می‌دهد که داده‌های عمومی پراکنده توسط عوامل دولتی برای طراحی نفوذ سازمانی پیچیده قابل استفاده نباشد.

فرآیند استخدام یک پروتکل باید به اندازه قراردادهای هوشمند آن امن باشد تا از دارایی‌های ذی‌نفعان محافظت کند. برای این منظور، اجرای فوری مراحل زیر توصیه می‌شود:

• تأیید هویت در اولویت: از یک سرویس تأیید هویت زنده (مانند Jumio یا Clear) برای تأیید هویت نامزد با کارت شناسایی دولتی استفاده کنید. این کار باید در اولین تماس ویدیویی به‌صورت زنده انجام شود.

• ارزیابی فنی در محیط ایزوله: هرگز کد نامزد را روی رایانه محلی اجرا نکنید. از محیط‌های ابری ایزوله مانند Gitpod یا Replit برای بررسی و اجرای کد استفاده کنید. این معادل استخدامی استفاده از کیف‌پول موقت برای تراکنش‌های پرریسک است.

• کدنویسی زنده با دوربین روشن: آزمون‌های خانگی را با جلسات زنده و تعاملی کدنویسی یا تخته‌نویسی جایگزین کنید. این کار مانع از برون‌سپاری کار توسط نامزد می‌شود.

• ممیزی وابستگی‌ها: قبل از بررسی هر مخزن خارجی، فایل‌های پیکربندی (مانند package.json) را برای بسته‌های ناشناخته یا کم‌دانلود اسکن کنید. این موارد ممکن است نسخه‌های جعلی ابزارهای معتبر باشند.

 

فراتر از دیوار آتش

امنیت دیگر فقط مسئولیت مدیر فنی (CTO) در سال ۲۰۲۶ نیست؛ بلکه از بخش منابع انسانی آغاز می‌شود.

موارد Kelp DAO و Bybit نشان می‌دهد که حتی قوی‌ترین تنظیمات فنی می‌تواند با یک انسان قابل اعتماد آلوده از بین برود. مدل استخدام بدون اعتماد کمک می‌کند تا اطمینان حاصل شود که استخدام‌های جدید برای ساختن چشم‌انداز آمده‌اند، نه تخریب آن.

برخورد با هر استخدام با همان دقتی که با معاملات چندمیلیون‌دلاری انجام می‌شود، تنها راه تضمین بقای بلندمدت پروتکل است.

 

چگونه در Toobit رمزارز بخریم

برای خرید رمزارز در Toobit، یک حساب کاربری ایجاد کنید، تأیید هویت را کامل کنید و به بخش خرید رمزارز بروید. یک توکن انتخاب کنید، روش پرداخت را برگزینید و خرید را تأیید کنید. دارایی‌های شما پس از تسویه تراکنش در حساب Spot ظاهر خواهند شد.

تبریک می‌گوییم، اکنون می‌دانید چگونه در Toobit رمزارز خریداری کنید!