قد تواجه عملاء ذوي ثروات عالية قد يكونون "مرتزقة" لقراصنة كوريا الشمالية

المؤلف الأصلي: نيكي، أخبار فوري سايت

مؤخراً، أصدرت Drift بروتوكول نتائج التحقيق الأخيرة بشأن حادثة الهجوم، مشيرة إلى أن هذه العملية تمت من قبل نفس الفاعل المهدد المتورط في حادثة اختراق Radiant Capital في أكتوبر 2024، مع درجة عالية من التشابه في تدفقات الأموال على السلسلة وطرق التشغيل. نسبت شركة الأمن Mandiant هجوم Radiant Capital إلى UNC4736، وهي منظمة مرتبطة بالحكومة الكورية الشمالية.

بعد هجوم Drift، قام القراصنة بتجميع 130,293 ETH، بقيمة تقارب 266 مليون دولار. أثر الحادث على 20 بروتوكولاً، بما في ذلك Prime Numbers Fi، Gauntlet، Elemental DeFi، Project 0، من بين آخرين. قدرت Prime Numbers Fi الخسائر بأكثر من 10 ملايين دولار، وGauntlet حوالي 6.4 مليون دولار، وNeutral Trade حوالي 3.67 مليون دولار، وElemental DeFi حوالي 2.9 مليون دولار، معبرين عن آمالهم في الحصول على تعويض جزئي من Drift.

ذكرت Drift أن الهجوم كان عملية مخططة بدقة استمرت ستة أشهر. في خريف 2025، اقتربت مجموعة تدعي أنها شركة تداول كمية من مساهمي Drift في مؤتمر كبير للعملات المشفرة. استنادًا إلى الجدول الزمني، كانت المؤتمرات الكبرى للعملات المشفرة خلال هذه الفترة تشمل أسبوع Blockchain في كوريا 2025 (من 22 إلى 28 سبتمبر 2025، في سيول)، TOKEN2049 سنغافورة (من 1 إلى 2 أكتوبر 2025، في سنغافورة)، أسبوع Binance Blockchain دبي 2025 (من 30 إلى 31 أكتوبر 2025، في دبي)، وSolana Breakpoint دبي (من 20 إلى 21 نوفمبر 2025، في دبي).

زعم مسؤولو Drift أنهم ذوو مهارات تقنية، ولديهم خلفيات مهنية قابلة للتحقق، وكانوا على دراية كبيرة بعمليات Drift. أنشأ الطرفان مجموعة على تيليجرام وشاركوا في مناقشات جوهرية حول استراتيجيات التداول ودمج الخزينة على مدار الأشهر التالية.

من ديسمبر 2025 إلى يناير 2026، استقر هذا المجموعة رسميًا في خزينة بيئية على Drift، مع تعبئة نماذج تفاصيل الاستراتيجية كما هو مطلوب. عقدوا عدة مناقشات عمل مع عدة مساهمين، ورفعوا قضايا منتج مفصلة، وأودعوا أكثر من مليون دولار من أموالهم الخاصة. من خلال عمليات صبورة ومنظمة، أنشأوا وجودًا تجاريًا وظيفيًا بالكامل داخل نظام Drift البيئي.

استمرت مناقشات الدمج حتى مارس من هذا العام. التقى عدة مساهمين من Drift وجهًا لوجه مع هؤلاء الأفراد مرة أخرى في مؤتمرات دولية مختلفة. بحلول هذا الوقت، كان الطرفان قد أقاما علاقة تعاونية دامت ما يقرب من ستة أشهر، ولم يعد الطرف الآخر غريبًا بل شريكًا عملوا معه. خلال هذه الفترة، شاركوا روابط لمشاريع وأدوات وتطبيقات زعموا أنهم يقومون ببنائها، وهو ممارسة شائعة بين شركات التداول.

بعد الهجوم في 2 أبريل، أجرى المحققون فحصًا جنائيًا شاملاً للأجهزة والحسابات وسجلات الاتصالات المعروفة المتأثرة، حيث أصبحت التفاعلات مع هذه المجموعة التجارية المسار الأكثر احتمالًا للاختراق. في وقت الهجوم، كانت سجلات دردشة تيليجرام للطرف الآخر والبرمجيات الضارة قد تم محوها بالكامل.

كشفت التحقيقات أن المهاجمين قد يكونون قد تسللوا إلى أجهزة المساهمين في Drift من خلال ثلاث طرق. قد يكون أحد المساهمين قد تعرض للاختراق بعد استنساخ مستودع الشيفرة الذي شاركته المجموعة، والذي تم تمويهه كواجهة أمامية لنشر خزانتها. تم إغراء مساهم آخر بتحميل تطبيق TestFlight، الذي زعم الطرف الآخر أنه منتج محفظتهم. فيما يتعلق بمسار اختراق مستودع الشيفرة، حذرت مجتمع الأمن مرارًا وتكرارًا من ديسمبر 2025 إلى فبراير 2026 بشأن الثغرات المعروفة في VSCode وCursor، حيث يمكن أن يؤدي فتح ملف أو مجلد أو مستودع في المحرر إلى تنفيذ شيفرة عشوائية بصمت دون نقرات من المستخدم أو أي مطالبات. لا يزال التحليل الجنائي الكامل للأجهزة المتأثرة جاريًا.

ترتبط هذه العملية بنفس الفاعل التهديدي المتورط في حادثة اختراق Radiant Capital في أكتوبر 2024. نسبت Mandiant هجوم Radiant إلى UNC4736، وهي منظمة مدعومة من الدولة من كوريا الشمالية، والمعروفة أيضًا باسم AppleJeus أو Citrine Sleet. يعتمد النسب على جانبين: تدفقات الأموال على السلسلة تشير إلى أن الأموال المستخدمة في التخطيط واختبار هذه العملية يمكن تتبعها إلى المهاجمين في Radiant؛ من الناحية التشغيلية، تُظهر الأزياء المستخدمة في هذا العمل تداخلات قابلة للتحديد مع الأنشطة المعروفة المتعلقة بكوريا الشمالية.

أشارت Drift إلى أن الأفراد الذين ظهروا في الاجتماعات غير المتصلة بالإنترنت لم يكونوا من الجنسية الكورية الشمالية. عادةً ما يقوم مثل هؤلاء الفاعلين التهديديين الكوريين الشماليين رفيعي المستوى بإقامة علاقات وجهًا لوجه من خلال وسطاء من طرف ثالث.

UNC4736 هو مجموعة من الفاعلين التهديديين الذين تتبعهم Mandiant، مع تقييمات عالية الثقة تربطها بمكتب الاستطلاع العام الكوري الشمالي. استهدفت هذه المنظمة باستمرار صناعة العملات المشفرة والتكنولوجيا المالية منذ عام 2018، وسرقت الأصول الرقمية من خلال هجمات سلسلة التوريد، والهندسة الاجتماعية، وتوصيل البرمجيات الضارة.

تشمل الحوادث الكبرى المعروفة للهجمات هجوم سلسلة التوريد 3CX في مارس 2023، وسرقة 50 مليون دولار من Radiant Capital في 2024، وسرقة 285 مليون دولار من Drift، مع بيانات إحصائية تشير إلى أن المنظمة سرقت حوالي 335 مليون دولار في المجموع.

تعتبر هذه المجموعة على نطاق واسع فرعًا من مجموعة Lazarus، التي تركز على الجرائم الإلكترونية المدفوعة ماليًا. سرقت مجموعة Lazarus حوالي 1.5 مليار دولار من الأصول من Bybit في فبراير 2025، مما يمثل أكبر سرقة فردية في تاريخ العملات المشفرة.

مجموعة Lazarus هي مجموعة من الفاعلين التهديديين السيبرانيين المدعومين من الحكومة الكورية الشمالية، والتي تنتمي إلى مكتب الاستطلاع العام، والتي تشمل عدة مجموعات فرعية مثل UNC4736 (أي AppleJeus/Citrine Sleet) وTraderTraitor. وفقًا لـ Chainalysis، سرق القراصنة الكوريون الشماليون حوالي 6.75 مليار دولار من العملات المشفرة من خلال مجموعات مثل Lazarus، مع أكثر من 2 مليار دولار في عام 2025 وحده.

كانت المنظمة مسؤولة عن عدة حوادث هجوم مثيرة على مستوى العالم: اختراق شركة سوني بيكتشرز للترفيه في عام 2014، وسرقة 81 مليون دولار من البنك المركزي البنغلاديشي في عام 2016، وتفشي فيروس الفدية واناكراي على مستوى العالم في عام 2017، وسرقتي 620 مليون دولار و100 مليون دولار من جسر رونين وجسر هارموني هورايزون في عام 2022، والهجمات على المحفظة الذرية وستيك في عام 2023. في أكتوبر 2024، هاجمت UNC4736 راديانت كابيتال، وسرقت 50 مليون دولار؛ وفي فبراير 2025، سرق TraderTraitor رقماً قياسياً بلغ 1.5 مليار دولار من Bybit؛ وفي أبريل 2026، أكملوا هجوماً بقيمة 285 مليون دولار على Drift Protocol.

لقد قاد لازاروس إجمالي سرقات العملات المشفرة في كوريا الشمالية إلى 6.75 مليار دولار. تغيرت طرق الهجوم من التدمير المبكر إلى التسلل طويل الأمد، والهندسة الاجتماعية، وهجمات سلسلة التوريد، والتسلل الخبيث عقد ذكي/تعدد التوقيعات.

أشارت بيان Drift إلى أن التحقيق كشف أن الهويات المستخدمة في الإجراءات الموجهة من قبل أطراف ثالثة كانت تحتوي على تاريخ شخصي ومهني كامل، بما في ذلك الخبرة العملية، والمؤهلات العامة، والشبكات المهنية. قضى الأفراد الذين رآهم مساهمو Drift في العالم الحقيقي شهوراً في بناء ملفات تعريف الهوية التي يمكن أن تتحمل التدقيق في سياق التعاون التجاري.

ذكر الباحث الأمني تايلور موناها أن عمال تكنولوجيا المعلومات الكوريين الشماليين قد تسللوا إلى شركات العملات المشفرة ومشاريع DeFi لمدة لا تقل عن سبع سنوات، مع وجود أكثر من 40 منصة DeFi تضم عمال تكنولوجيا المعلومات الكوريين الشماليين في مراحل مختلفة. تشير حادثة Drift بشكل أكبر إلى أن المهاجمين قد تطوروا من التسلل عن بُعد إلى عمليات استخبارات مستهدفة وجهًا لوجه تستمر لعدة أشهر.

ذكرت Drift أنها ستواصل التعاون مع جهات إنفاذ القانون، والشركاء الجنائيين، وفرق النظام البيئي، مع إصدار المزيد من التفاصيل بعد الانتهاء من التحقيق. تم تجميد جميع وظائف البروتوكول المتبقية، وتمت إزالة المحافظ المسروقة من التوقيعات المتعددة، وتم وضع علامات على عناوين المهاجمين في مختلف البورصات ومشغلي الجسور عبر السلاسل.