المخاطر المرتبطة بالقرصنة من قبل UNC4899
تم ربط مجموعة UNC4899، المرتبطة بكوريا الشمالية، بهجمات تستهدف منظمتين مختلفتين من خلال الاقتراب من موظفيها عبر LinkedIn وTelegram.
“تحت غطاء فرص العمل المستقل في تطوير البرمجيات، استخدمت UNC4899 تقنيات الهندسة الاجتماعية لإقناع الموظفين المستهدفين بتنفيذ حاويات Docker ضارة على محطات العمل الخاصة بهم،” كما جاء في تقرير Google Cloud Threat Horizons للنصف الثاني من عام 2025.
تتداخل أنشطة UNC4899 مع الأنشطة المعروفة تحت أسماء Jade Sleet وPUKCHONG وSlow Pisces وTraderTraitor. ومن المعروف أن هذه المجموعة المدعومة من الدولة تستهدف صناعة العملات المشفرة والبلوك تشين منذ عام 2020 على الأقل.
سرقات العملات المشفرة الكبرى
تم الإبلاغ عن أن مجموعة القرصنة متورطة في سرقات كبيرة للعملات المشفرة، بما في ذلك سرقة Axie Infinity في مارس 2022 (625 مليون دولار)، وDMM Bitcoin في مايو 2024 (308 مليون دولار)، وBybit في فبراير 2025 (1.4 مليار دولار).
تُظهر حالة أخرى تعكس تعقيد المجموعة استغلالها المشتبه به لبنية JumpCloud لاستهداف العملاء في قطاع العملات المشفرة.
وفقًا لـ DTEX، فإن TraderTraitor مرتبطة بالمكتب الثالث (أو القسم) من المكتب العام للاستطلاع في كوريا الشمالية، وهي الأكثر نشاطًا بين مجموعات القرصنة في بيونغ يانغ عندما يتعلق الأمر بسرقة العملات المشفرة.
أساليب الهجوم
تتضمن الهجمات التي نفذتها المجموعة استخدام إغراءات تتعلق بالوظائف أو تحميل حزم npm ضارة، ثم الاقتراب من موظفي الشركات المستهدفة بعرض مغرٍ أو طلب التعاون في مشروع على GitHub، مما يؤدي إلى تنفيذ المكتبات الضارة.
“أظهرت TraderTraitor اهتمامًا مستمرًا بالأسطح الهجومية المرتبطة بالسحابة، وغالبًا ما يكون الهدف النهائي هو اختراق الشركات التي هي عملاء لمنصات سحابية بدلاً من المنصات نفسها،” كما ذكرت شركة Wiz للأمن السحابي في تقرير مفصل عن TraderTraitor هذا الأسبوع.
استراتيجيات الاختراق
استهدفت الهجمات التي رصدتها Google Cloud بيئات Google Cloud وAmazon Web Services (AWS) الخاصة بالمنظمات المعنية، مما مهد الطريق لأداة تحميل تُدعى GLASSCANNON تُستخدم بعد ذلك لتقديم أبواب خلفية مثل PLOTTWIST وMAZEWIRE التي يمكن أن تُنشئ اتصالات مع خادم يتحكم فيه المهاجم.
في الحادثة التي تتعلق ببيئة Google Cloud، وُجد أن المهاجمين استخدموا بيانات اعتماد مسروقة للتفاعل عن بُعد باستخدام Google Cloud CLI عبر خدمة VPN مجهولة، مما أدى إلى تنفيذ أنشطة استطلاع وسرقة بيانات اعتماد واسعة النطاق. ومع ذلك، تم إحباط جهودهم بسبب إعدادات المصادقة متعددة العوامل (MFA) المطبقة على بيانات اعتماد الضحية.
“في النهاية، حدد UNC4899 أن حساب الضحية كان لديه امتيازات إدارية لمشروع Google Cloud وقام بإلغاء متطلبات MFA،” قالت Google. “بعد النجاح في الوصول إلى الموارد المستهدفة، أعادوا تمكين MFA على الفور لتفادي الكشف.”
الهجمات على بيئة AWS
يُقال إن الاقتحام الذي يستهدف بيئة AWS للضحية الثانية اتبع سيناريو مشابه، ولكن هذه المرة استخدم المهاجمون مفاتيح وصول طويلة الأمد تم الحصول عليها من ملف بيانات اعتماد AWS للتفاعل عن بُعد عبر AWS CLI.
على الرغم من أن المهاجمين واجهوا عقبات في التحكم بالوصول منعتهم من تنفيذ أي إجراءات حساسة، قالت Google إنها وجدت أدلة تشير على الأرجح إلى سرقة ملفات تعريف ارتباط جلسة المستخدم. تم استخدام هذه الملفات بعد ذلك لتحديد تكوينات CloudFront ذات الصلة ودلاء S3.
“استغل UNC4899 الأذونات الإدارية المطبقة على وصولهم لتحميل واستبدال ملفات JavaScript الموجودة بأخرى تحتوي على تعليمات برمجية ضارة، تم تصميمها للتلاعب بوظائف العملات المشفرة وتحفيز عملية تحويل إلى محفظة العملات المشفرة لمنظمة مستهدفة،” قالت Google.
انتهت الهجمات، في كلتا الحالتين، بنجاح المهاجمين في سحب عدة ملايين من العملات المشفرة، حسبما أضافت الشركة.
تطورات جديدة في عالم البرمجيات الضارة
تأتي هذه التطورات في الوقت الذي قالت فيه Sonatype إنها قامت بتحديد وحظر 234 حزمة ضارة فريدة من npm وPyPI مرتبطة بمجموعة Lazarus التابعة لكوريا الشمالية بين يناير ويوليو 2025. تم تكوين بعض هذه المكتبات لإسقاط أداة سرقة بيانات معروفة تُدعى BeaverTail، المرتبطة بحملة طويلة الأمد تُدعى Contagious Interview.
“تُحاكي هذه الحزم أدوات مطورين شائعة ولكنها تعمل كزراعة تجسس، مصممة لسرقة الأسرار، وتشكيل ملفات تعريف للمضيفين، وفتح أبواب خلفية دائمة في البنية التحتية الحيوية،” قالت شركة أمن سلسلة التوريد البرمجية. “تظهر زيادة النشاط في النصف الأول من عام 2025 تحولًا استراتيجيًا: حيث بدأت Lazarus الآن في تضمين البرمجيات الضارة مباشرة في سجلات الحزم مفتوحة المصدر، وهي npm وPyPI، بمعدل مقلق.”
تحديث
في تحليل جديد نُشر في 31 يوليو 2025، قالت Veracode إنها كشفت عن اثني عشر حزمة ضارة نشرتها مجموعات تهديد كورية شمالية كجزء من حملة سرقة العملات المشفرة.
تُقيّم البرمجيات الضارة على أنها نوع من BeaverTail، قادرة على جمع معلومات النظام، وسرقة البيانات من تطبيقات ومحافظ العملات المشفرة، وتنزيل حمولات Python إضافية. لا تتوفر أي من الحزم المحددة للتنزيل من npm.
