قراصنة كوريا الشمالية يخترقون السحابة: كشف سرقة العملات المشفّرة غير المرئية

العنوان الفرعي: حملة منسّقة يُشتبه أن مجرمي الإنترنت التابعين لكوريا الشمالية يقفون وراءها تكشف ثغرات حرجة في سلسلة توريد السحابة الخاصة بالعملات المشفّرة.

في عتمة الليل الرقمي، تسلّل جيش غير مرئي عبر شقوق دفاعات العملات المشفّرة في العالم. هدفهم: جواهر التاج في الاقتصاد الرقمي - المفاتيح الخاصة، والشفرة البرمجية المملوكة، والبرمجيات ذاتها التي تُبقي منصّات التداول تعمل. أمّا الجناة؟ مجموعة غامضة لها صلات بكوريا الشمالية، تكشف حملتها الأخيرة مدى هشاشة العمود الفقري للعملات المشفّرة حقًا.

حقائق سريعة

اخترق فاعلون تهديديون يُشتبه أنهم من كوريا الشمالية (DPRK) عدة مؤسسات للعملات المشفّرة باستخدام ثغرات في السحابة وتطبيقات الويب.
استغل المهاجمون ثغرة React2Shell (CVE-2025-55182) للوصول الأولي، واستغلوا بيانات اعتماد AWS المخترقة للتحرّك الجانبي.
شملت البيانات الحساسة المسروقة مفاتيح خاصة، وبرمجيات منصّات تداول مملوكة، وصور Docker تحتوي على أسرار.
تضمّنت البرمجيات الخبيثة التي نُشرت VShell ووكلاء FRP العكسيين، ما حافظ على وصول دائم وساعد في تهريب البيانات.
استخدم المهاجمون عُقد VPN في كوريا الجنوبية وبنية تحتية مخصّصة لتفادي الرصد وإخفاء أصولهم.

كيف تكشّفت السرقة

بدأت الحملة، التي كشفها Ctrl-Alt-Intel، بضربة جراحية استهدفت منصّات رهن العملات المشفّرة. ومن خلال استغلال ثغرة React2Shell - وهي عيب في تطبيقات الويب لا يزال غير معروف على نطاق واسع - حصل المهاجمون على موطئ قدمهم الأول. ومن هناك، أطلقوا أدوات مسح واسعة النطاق للبحث عن أنظمة مكشوفة عبر سلسلة توريد العملات المشفّرة، مستهدفين ليس فقط منصّات التداول، بل أيضًا مزوّدي البرمجيات وبيئات السحابة التي تقوم عليها.

وبفضل بيانات اعتماد AWS المسروقة - والمرجّح أنها جُمعت في هجمات سابقة أو اختراقات سحابية - صعّد القراصنة صلاحياتهم، متنقّلين بين مستأجري السحابة وخدماتها. ومن خلال التلاعب بأدوار AWS IAM، تمكنوا من التحرك جانبيًا عبر البيئات، متجاوزين ضوابط الأمان القياسية. وكانت خطوتهم التالية: السيطرة على عناقيد Kubernetes عبر تحديث ملفات الإعدادات، مانحين أنفسهم مفاتيح المملكة.

داخل السحابة، راح المهاجمون يطاردون البيانات الحساسة بشكل منهجي. وباستخدام تعداد دلاء S3، اكتشفوا وهرّبوا ملفات حالة Terraform ومتغيرات البيئة - وغالبًا ما تكون هي الأماكن ذاتها التي تُخزَّن فيها المفاتيح الخاصة والأسرار. وشملت الغنيمة خمس صور Docker من Elastic Container Registry، كل واحدة منها محمّلة بشفرة مملوكة وأسرار تطبيقات، جرى أرشفتها لاستغلال لاحق.

الاستمرارية وطمس الآثار

وللحفاظ على قبضتهم، نشر القراصنة VShell، وهي أداة صينية لما بعد الاستغلال، ووكلاء FRP العكسيين. وقد أتاحت لهم هذه الأدوات تمرير الاتصالات عبر منافذ غير معتادة - مثل المنفذ 53 المخصّص عادةً لحركة DNS - ما ساعدهم على تفادي الرصد. أما البنية التحتية الداعمة للعملية، بما في ذلك نطاقات مسجّلة في كوريا الجنوبية وعُقد VPN تمر عبر المنطقة، فقد صُممت لإرباك المحققين وحجب المصدر الحقيقي للهجوم.

وما يجعل هذه الحملة مرعبة على نحو خاص هو اتساعها ودقتها. فمن خلال استهداف سلسلة توريد السحابة والاستفادة من بيانات اعتماد جديدة وأخرى مسروقة سابقًا، أبرز المهاجمون هشاشة الترابط داخل منظومة العملات المشفّرة.

جرس الإنذار

هذا الاختراق تذكير صارخ: في اندفاع الذهب الرقمي، لا تكون الخزائن أكثر أمانًا من أضعف حلقة فيها. وبينما تسارع مؤسسات العملات المشفّرة إلى الابتكار، يسارع المهاجمون لاستغلال كل سهو. وقد تكون الموجة التالية من السرقات قيد التنفيذ بالفعل - ما لم يتعلّم المدافعون من هذه الغارة غير المرئية، لكنها مدمّرة.

WIKICROOK

APT (التهديد المتقدم المستمر): التهديد المتقدم المستمر (APT) هو هجوم سيبراني طويل الأمد وموجّه تنفذه مجموعات ماهرة، غالبًا بدعم دول، بهدف سرقة البيانات أو تعطيل العمليات.
Kubernetes: Kubernetes هو برنامج مفتوح المصدر يؤتمت نشر التطبيقات وتوسيعها وإدارتها، ما يسهل على الشركات تشغيل الأنظمة بشكل موثوق.
دور IAM (دور إدارة الهوية والوصول): توفّر أدوار IAM أذونات مؤقتة للمستخدمين أو الخدمات، ما يتيح وصولًا آمنًا ومضبوطًا إلى موارد السحابة دون استخدام بيانات اعتماد دائمة.
تعداد دلاء S3: يتضمن تعداد دلاء S3 مسحًا وسردًا لدلاء تخزين Amazon S3 للعثور على سوء الإعدادات أو البيانات المكشوفة، وغالبًا ما يُستخدم في تقييمات الأمان.
صورة Docker: صورة Docker هي بيئة مُعبّأة تحتوي على جميع المكونات اللازمة لتشغيل تطبيق بشكل متسق عبر أنظمة مختلفة ومنصات سحابية.