كيف وقع مؤسس ويب3 ضحية لبرمجية "بيفر تيل" الشهيرة من كوريا الشمالية

مؤسس Web3 أكشيت أوستوال خسر $20K إلى برمجية BeaverTail الخبيثة من كوريا الشمالية في عملية احتيال معقدة في مجال العملات الرقمية استهدفت المطورين.

واجه مجال Web3 مؤخرًا تذكيرًا قاسيًا هذا الأسبوع. فقد أكشيت أوستوال، المؤسس المشارك لبروتوكول إيكوب، أكثر من 20000 دولار بعد مساعدته لصديق في ما بدا أنه مقابلة تقنية قياسية.

هذه الحادثة تظهر فقط الحملة المستمرة من قبل قراصنة كوريا الشمالية لاستهداف الأشخاص الذين يبنون مستقبل الإنترنت.

كيف بدأت عملية الاحتيال على العملات الرقمية ذات الرهانات العالية

بدأت المشكلة في العام الماضي في 18 ديسمبر، بطلب بسيط من صديق. كان هذا الصديق يتقدم لوظيفة جديدة وطلب من أوستوال مراجعة مستودع رمز.

كان يعتقد أن الرمز يأتي من مجند شرعي في شركة بارزة.

أراد أوستوال أن يكون مفيدًا وقام بتشغيل رمز الطرف الثالث على جهازه المحلي.

https://t.co/FCHfkGQdeA

— (AK) أكشيت | بروتوكول إيكوب 🦇🔊🛡️ (@OstwalAk) 8 يناير 2026

فتح هذا العمل اللطيف الباب لحملة “المقابلة المعدية”، المرتبطة بمجموعة لازاروس الشهيرة المدعومة من الدولة من كوريا الشمالية.

بدلاً من التصيد الجماعي، يستخدم هؤلاء المهاجمون الآن الهندسة الاجتماعية عالية اللمسة لخداع المطورين لتشغيل ملفات معدلة.

تشريح هجوم برمجية BeaverTail الخبيثة

ذكر أوستوال في منشور على X أنه بمجرد تنفيذ الكود، بدأت سلسلة عدوى صامتة في جهازه.

حدد خبراء الأمن في Seal911 المسبب الرئيسي على أنه برمجية BeaverTail الخبيثة. هذا البرنامج المبني على جافا سكريبت يُستخدم غالبًا مع باب خلفي ثانوي يُسمى InvisibleFerret.

عند استخدامهما معًا، يصبحان ثنائي سرقة العملات الرقمية لا يقهر تقريبًا لأي بيئة مطور.

وفقًا لأوستوال، عملت البرمجية الخبيثة على عدة مراحل:

كانت المرحلة الأولى هي التنفيذ التلقائي، حيث بمجرد بدء الخادم المحلي، بدأ ملف باسم analytics.controller.js في تشغيل وظيفة مخفية.

بعد ذلك، أرسل السكربت على الفور متغيرات بيئة النظام الخاصة بأوستوال إلى المهاجم. شمل ذلك عناصر حساسة مثل عناوين قواعد البيانات والمفاتيح الخاصة.

أخيرًا، أرسل خادم المهاجم جافا سكريبت خبيثة، والتي تم تنفيذها بصلاحيات الجذر على الجهاز المصاب.

قبل أن يمر وقت طويل، تم إهدار 20000 دولار.

لماذا بقي الاحتيال على العملات الرقمية مخفيًا

من الجدير بالذكر أن القراصنة لم ينقلوا المال على الفور. بدلاً من ذلك، ربما حافظوا على باب خلفي على جهاز أوستوال لمدة تقارب الشهر. خلال هذا الوقت، كتبوا سكربتات مخصصة لإلغاء استراحتها من محفظته DeFi.

انتظروا أيضًا اللحظة المثالية لـ"مسح" جميع أصوله في معاملة واحدة.

استهدف المهاجمون في النهاية محافظ متوافقة مع EVM وحسابات سولانا.

استخدموا أدوات مثل Near-Intents وRubic Exchange لنقل الأموال المسروقة. تجعل هذه التقنية “تبديل السلسلة” من الصعب على المحققين تتبع الأموال عبر سلاسل الكتل المختلفة.

قراءة ذات صلة: سرقة بقيمة 3.4 مليار دولار: كوريا الشمالية تقود سجل $2 مليار سرقة للعملات الرقمية هذا العام

النطاق القياسي لسرقة كوريا الشمالية

تعد تجربة أوستوال جزءًا من ارتفاع هائل في الجرائم الإلكترونية. تشير بيانات تقرير جرائم العملات الرقمية لعام 2026 إلى أن قراصنة كوريا الشمالية سرقوا 2.02 مليار دولار العام الماضي فقط.

يمثل هذا الرقم الجزء الأكبر من الـ 3.4 مليار دولار التي فقدت في سرقة العملات الرقمية على مستوى العالم العام الماضي.

ثبت أن حملة “المقابلة المعدية” فعالة بشكل ملحوظ. ينشئ القراصنة مئات من حزم NPM الخبيثة ويستخدمون الذكاء الاصطناعي لإنشاء ردود مقابلة تبدو بشرية.

بعبارة أخرى، لقد حولوا سوق العمل إلى حقل ألغام لمهندسي البرمجيات.