قراصنة كوريا الشمالية يسرقون ملايين الدولارات من عملات رقمية عبر هجوم سحابي معقد
كشفت تقارير أمنية حديثة عن حملة اختراق متطورة استهدفت مؤسسة تعمل في مجال العملات الرقمية خلال عام 2025، حيث تمكن قراصنة تابعون لدولة كوريا الشمالية والمعروفون باسم UNC4899 من سرقة أصول رقمية تقدر قيمتها بملايين الدولارات. وتستخدم هذه المجموعة، التي تحمل أيضاً أسماء مثل Jade Sleet وTraderTraitor، سلسلة هجمات متعددة المراحل تجمع بين الهندسة الاجتماعية واستغلال الثغرات في عمليات الربط بين الأجهزة الشخصية وأجهزة العمل.
بدأت سلسلة الهجوم باستدراج أحد المطورين العاملين في المؤسسة المستهدفة لتحميل ملف أرشيفي خبيث تم تقديمه على أنه جزء من مشروع تعاوني مفتوح المصدر. ونقل المطور الملف من جهازه الشخصي إلى محطة العمل الخاصة به باستخدام خاصية AirDrop، مما سمح للبرمجية الخبيثة بعبور الحدود الفاصلة بين الشبكتين الشخصية والتجارية. وعند فحص محتويات الأرشيف داخل بيئة تطوير متكاملة مدعومة بالذكاء الاصطناعي، تم تنفيذ كود بايثون ضار أدى إلى تشغيل برنامج ثنائي يتخفى في صورة أداة Kubernetes الشرعية.
بعد تأمين موطئ قدم داخل الشبكة الداخلية، انتقل المهاجمون إلى بيئة Google Cloud الخاصة بالمؤسسة. وأظهر القراصنة فهماً عميقاً للتكنولوجيات السحابية، حيث أساءوا استخدام سير عمل DevOps الشرعية لجمع بيانات الاعتماد والخروج من نطاق الحاويات والتلاعب بقواعد بيانات Cloud SQL. تمثل هذه المرحلة منهجية "العيش من السحابة" حيث يستغل المهاجمون الأدوات والخدمات السحابية الأصلية نفسها للبقاء والانتقال laterally دون الحاجة إلى برامج ضارة تقليدية.
الهدف النهائي للعملية كان التلاعب بالأنظمة المالية ومنطق المعاملات لتسهيل سرقة كميات كبيرة من العملات الرقمية. ويُعتبر هذا الهجوم مثالاً صارخاً على تطور التهديدات السحابية التي تستهدف قطاع الأصول الرقمية، حيث يصبح البنية التحتية السحابية نفسها ساحة للمعركة.
تحذر التقارير الأمنية من تزايد اعتماد الجماعات المدعومة من الدول على مثل هذه الأساليب المتطورة التي تتجنب الكشف. وتؤكد الحادثة على الحاجة الملحة لتعزيز إجراءات الأمن السيبراني في البيئات السحابية، خاصة بالنسبة للمؤسسات المالية التي تتعامل مع الأصول الرقمية، حيث يجب الفصل التام بين الأجهزة الشخصية والتجارية ومراقبة سلوكيات السحابة بشكل مستمر.
