في السنوات الأخيرة، شهدنا زيادة ملحوظة في الأنشطة السيبرانية التي تنفذها مجموعات قرصنة مرتبطة بكوريا الشمالية، حيث تستهدف هذه المجموعات بشكل خاص صناعة العملات المشفرة. في هذا المقال، نستعرض كيف استخدم هاكرز كوريا الشمالية تقنيات متقدمة لسرقة ملايين الدولارات من العملات المشفرة.
هاكرز كوريا الشمالية استخدموا فرص عمل، وصول إلى حسابات سحابية، وبرمجيات خبيثة لسرقة ملايين في العملات المشفرة
تم ربط الفاعل المهدد المعروف باسم UNC4899 بهجمات تستهدف منظمتين مختلفتين من خلال الاقتراب من موظفيها عبر لينكد إن وتيليجرام.
“تحت ستار فرص العمل الحرة في تطوير البرمجيات، استخدم UNC4899 تقنيات الهندسة الاجتماعية لإقناع الموظفين المستهدفين بتنفيذ حاويات دوكر خبيثة على محطات العمل الخاصة بهم”، كما ورد في تقرير Google Cloud Threat Horizons للنصف الثاني من عام 2025.
يتداخل UNC4899 مع الأنشطة التي تتبع تحت أسماء Jade Sleet وPUKCHONG وSlow Pisces وTraderTraitor. نشط منذ عام 2020 على الأقل، ويعرف الفاعل المدعوم من الدولة باستهدافه لصناعات العملات المشفرة والبلوكشين.
ومن الجدير بالذكر أن مجموعة القرصنة هذه متورطة في عمليات سرقة كبيرة للعملات المشفرة، بما في ذلك سرقة Axie Infinity في مارس 2022 (625 مليون دولار)، وDMM Bitcoin في مايو 2024 (308 مليون دولار)، وBybit في فبراير 2025 (1.4 مليار دولار).
مثال آخر يبرز تعقيدها هو الاستغلال المشتبه به لبنية JumpCloud لاستهداف العملاء في قطاع العملات المشفرة.
وفقًا لـ DTEX، يرتبط TraderTraitor بالهيئة الثالثة (أو القسم) من المكتب العام للاستطلاع في كوريا الشمالية، وهو الأكثر إنتاجية من بين أي من مجموعات القرصنة في بيونغ يانغ عندما يتعلق الأمر بسرقة العملات المشفرة.
تضمنت الهجمات التي نفذها الفاعل المهدد استخدام مغريات تتعلق بالوظائف أو تحميل حزم npm خبيثة، ثم الاقتراب من موظفي الشركات المستهدفة بعرض مغرٍ أو طلب التعاون في مشروع على GitHub مما يؤدي إلى تنفيذ المكتبات الخبيثة.
“أظهر TraderTraitor اهتمامًا مستمرًا بالأسطح الهجومية المرتبطة بالسحابة، غالبًا بهدف نهائي يتمثل في اختراق الشركات التي هي عملاء لمنصات السحابة بدلاً من المنصات نفسها”، كما ذكرت شركة Wiz للأمن السحابي في تقرير مفصل عن TraderTraitor هذا الأسبوع.
استهدفت الهجمات التي رصدتها Google Cloud بيئات Google Cloud وAmazon Web Services (AWS) الخاصة بالمنظمات المعنية، مما مهد الطريق لبرنامج تنزيل يسمى GLASSCANNON الذي يستخدم بعد ذلك لتقديم أبواب خلفية مثل PLOTTWIST وMAZEWIRE التي يمكن أن تنشئ اتصالات مع خادم يتحكم فيه المهاجم.
في الحادث الذي ينطوي على بيئة Google Cloud، وُجد أن الفاعلين المهددين قد استخدموا بيانات اعتماد مسروقة للتفاعل عن بُعد باستخدام Google Cloud CLI عبر خدمة VPN مجهولة، مما أدى إلى تنفيذ أنشطة استكشاف واسعة وسرقة بيانات الاعتماد. ومع ذلك، تم إحباط جهودهم بسبب تكوين المصادقة متعددة العوامل (MFA) المطبق على بيانات اعتماد الضحية.
“في النهاية، حدد UNC4899 أن حساب الضحية كان لديه امتيازات إدارية لمشروع Google Cloud وقام بتعطيل متطلبات MFA”، كما قالت Google. “بعد أن تمكنوا من الوصول إلى الموارد المستهدفة، أعادوا على الفور تمكين MFA لتجنب الكشف.”
يقال إن التسلل الذي يستهدف بيئة AWS الثانية اتبع سيناريو مشابه، ولكن هذه المرة استخدم المهاجمون مفاتيح وصول طويلة الأجل تم الحصول عليها من ملف بيانات اعتماد AWS للتفاعل عن بُعد عبر AWS CLI.
على الرغم من أن الفاعلين المهددين واجهوا حواجز تحكم في الوصول منعتهم من تنفيذ أي إجراءات حساسة، قالت Google إنها وجدت أدلة تشير على الأرجح إلى سرقة ملفات تعريف جلسة المستخدم. تم استخدام هذه الملفات بعد ذلك لتحديد تكوينات CloudFront وS3 ذات الصلة.
“استفاد UNC4899 من الأذونات الإدارية المطبقة على وصولهم لتحميل واستبدال ملفات JavaScript الموجودة بأخرى تحتوي على رمز خبيث، مصممة للتلاعب بوظائف العملات المشفرة وتحفيز معاملة مع محفظة العملات المشفرة لمنظمة مستهدفة”، قالت Google.
انتهت الهجمات، في كلتا الحالتين، بنجاح الفاعلين المهددين في سحب عدة ملايين من العملات المشفرة، أضافت الشركة.
تأتي هذه التطورات في الوقت الذي قالت فيه Sonatype إنها قامت بتمييز وحظر 234 حزمة برمجية خبيثة فريدة من npm وPyPI مرتبطة بمجموعة Lazarus الكورية الشمالية بين يناير ويوليو 2025. بعض هذه المكتبات مصممة لنقل برنامج معروف لسرقة البيانات يُشار إليه باسم BeaverTail، والذي يرتبط بحملة طويلة الأمد تُدعى Contagious Interview.
“تقلد هذه الحزم أدوات مطورين شائعة ولكنها تعمل كزرع تجسسي، مصممة لسرقة الأسرار، وتحديد ملفات التعريف، وفتح أبواب خلفية دائمة في البنية التحتية الحيوية”، كما قالت شركة أمان سلسلة التوريد البرمجية. “تظهر زيادة النشاط في النصف الأول من عام 2025 تحولًا استراتيجيًا: حيث بدأت Lazarus الآن في تضمين البرمجيات الخبيثة مباشرة في سجلات الحزم مفتوحة المصدر، أي npm وPyPI، بمعدل مقلق.”
تحديث
قالت Veracode، في تحليل جديد نشر في 31 يوليو 2025، إنها اكتشفت اثني عشر حزمة خبيثة نشرتها الفاعلون الكوريون الشماليون كجزء من حملة سرقة العملات المشفرة.
يُعتقد أن البرمجيات الخبيثة هي نسخة من BeaverTail، قادرة على جمع معلومات النظام، واستخراج البيانات من تطبيقات ومحافظ العملات المشفرة، وتنزيل حمولات بايثون إضافية. لا تتوفر أي من الحزم المحددة للتنزيل من npm.
(تم تحديث القصة بعد النشر في 2 أغسطس 2025 لتضمين رؤى إضافية من Veracode.)
مع استمرار تهديدات الأمن السيبراني من قبل مجموعات مثل UNC4899، يصبح من الضروري أن تتخذ الشركات خطوات استباقية لحماية بياناتها وأصولها. يجب أن تكون الوعي والتدريب على الأمن السيبراني جزءًا أساسيًا من استراتيجية أي منظمة.
