قراصنة كوريا الشمالية يستغلون جهاز مطور لسرقة ملايين الدولارات من العملات الرقمية
في عام 2025، شنّت مجموعة تهديد كورية شمالية تُعرف باسم UNC4899 هجوماً متطوراً على شركة تعمل في مجال العملات الرقمية، وسرقت أصولاً مشفرة بقيمة ملايين الدولارات. نجح القراصنة في خداع أحد المطورين لتحميل أرشيف يبدو شرعياً كجزء من تعاون مفتوح المصدر.
كيف حدث الاختراق؟
قام المطور بنقل الملف إلى جهاز الشركة باستخدام خاصية AirDrop. أدى ذلك إلى تنفيذ كود بايثون ضار مخبأ داخل الملف، كان متنكراً في صورة أداة سطر أوامر خاصة بـ Kubernetes. فتح هذا “الباب الخلفي” للمهاجمين الطريق للوصول إلى سحابة الشركة، وجمع بيانات الاعتماد، والتلاعب بالبنية التحتية الحيوية.
وصفت شركة جوجل السحابية الهجوم بأنه مزيج من “الهندسة الاجتماعية، واستغلال آليات نقل البيانات المباشرة بين الأجهزة الشخصية والتجارية، والتحول إلى السحابة لاستخدام تقنيات الاختباء فيها.”
سرقة العملات المشفرة عبر Kubernetes
بعد دخول النظام، استكشف المهاجمون إعدادات Kubernetes الخاصة بالشركة واستخدموا رموز حسابات خدمية مسروقة للحصول على صلاحيات أعلى. حتى أنهم غيّروا إعدادات المصادقة متعددة العوامل لتسهيل الدخول. ثم وصلوا إلى أجزاء حساسة في النظام تتحكم في الشبكة ومعلومات العملاء، بما في ذلك محافظ العملات الرقمية.
بعد ذلك، حصلوا على تفاصيل تسجيل الدخول لقاعدة البيانات المخزنة بشكل غير آمن، وتمكنوا من الوصول إلى قاعدة بيانات الإنتاج وإجراء تغييرات على حسابات المستخدمين. وشمل ذلك إعادة تعيين كلمات المرور وتحديث رموز المصادقة متعددة العوامل للحسابات عالية القيمة. في النهاية، تمكن المهاجمون من سحب عدة ملايين من الدولارات من العملة الرقمية.
كيف أخفى المهاجمون أنفسهم؟
استهدف UNC4899 أيضاً العمليات الآلية للتطوير في الشركة للبقاء مختبئين في السحابة. قاموا بزرع أوامر في عمليات النشر على Kubernetes بحيث يقوم كل “بود” جديد يبدأ العمل بتحميل “الباب الخلفي” تلقائياً.
نصائح أمنية للشركات
تقدم جوجل النصائح التالية للشركات لتجنب مثل هذه الهجمات:
- فصل بيئات السحابة بشكل صارم.
- تقييد مشاركة الملفات المباشرة بين الأجهزة.
- مراقبة النشاط غير المعتاد في الحاويات.
- استخدام مصادقة متعددة العوامل مقاومة لعمليات التصيد.
- اعتماد إدارة قوية للأسرار والمفاتيح الأمنية.
نشاط قراصنة كوريا الشمالية يتوسع
تستخدم مجموعات أخرى مرتبطة بكوريا الشمالية، مثل Konni، برامج ضارة تم إنشاؤها بالذكاء الاصطناعي لاستهداف مطوري تقنية البلوكشين. يرسل هؤلاء المهاجمون رسائل ضارة عبر Discord تحتوي على برامج خبيثة يمكنها سرقة الأموال والبيانات.
تظهر التقارير أن أكثر من 16.5 مليون دولار ذهبت لعاملين في مجال تكنولوجيا المعلومات من كوريا الشمالية يتظاهرون بأنهم مستقلون شرعيون في عام 2025 وحده. وهذا يوضح مدى خطورة ممارسات التوظيف دون فحص دقيق، ويؤكد الحاجة إلى تحسين الوعي الأمني السيبراني.
الأسئلة الشائعة
س: كيف تمكن القراصنة من سرقة العملات الرقمية؟
ج: تمكنوا من خلال خداع مطور لتحميل برنامج ضار، ثم استغلوا ضعفاً في نظام Kubernetes للوصول إلى المحافظ الرقمية وتغيير إعدادات الحسابات وسحب الأموال.
س: ما هي النصائح الرئيسية لحماية شركات العملات المشفرة؟
ج: أهم النصائح هي: فصل بيئات السحابة، منع مشاركة الملفات غير الآمنة بين الأجهزة، استخدام مصادقة قوية متعددة العوامل، ومراقبة النشاط باستمرار.
س: ما هو دور كوريا الشمالية في هذه الهجمات؟
ج: توجد مجموعات قرصنة نشطة مرتبطة بكوريا الشمالية، مثل UNC4899 و Konni، تركز على سرقة الأموال من شركات وتقنيات العملات الرقمية باستخدام أساليب متطورة.
تنويه: المعلومات الواردة في هذا المقال لأغراض إعلامية وتعليمية فقط. لا تشكل المقالة نصيحة مالية أو استشارة من أي نوع. ليست المسؤولية عن أي خسائر ناتجة عن استخدام المحتوى أو المنتجات أو الخدمات المذكورة. ينصح القراء بالحذر قبل اتخاذ أي إجراء متعلق بالشركة.
