نُسبت مجموعة التهديد المرتبطة بكوريا الشمالية والمعروفة باسم UNC4899 إلى هجمات استهدفت موظفين في مؤسستين مختلفتين، حيث اقترب المهاجمون من الضحايا عبر منصتي لينكدإن وتليغرام.
وأفاد تقرير “Cloud Threat Horizons” الصادر عن قسم الحوسبة السحابية في غوغل للنصف الثاني من عام 2025، بأن المجموعة استخدمت حيلًا في الهندسة الاجتماعية، متظاهرة بتوفير فرص عمل حرة في مجال تطوير البرمجيات، لإقناع الموظفين المستهدفين بتنفيذ حاويات Docker خبيثة على أجهزتهم.
خلفية المجموعة وأبرز عملياتها
تنشط مجموعة UNC4899، التي تتداخل مع تسميات أخرى مثل Jade Sleet وPUKCHONG وSlow Pisces وTraderTraitor، منذ عام 2020 على الأقل، وتُعرف باستهدافها لصناعة العملات المشفرة وتقنيات البلوكتشين.
وقد تورطت المجموعة في عمليات اختراق ضخمة، منها هجوم Axie Infinity في مارس 2022 الذي بلغت خسائره 625 مليون دولار، وهجوم DMM Bitcoin في مايو 2024 بخسائر بلغت 308 ملايين دولار، وسرقة 1.4 مليار دولار من Bybit في فبراير 2025.
استغلال البنية التحتية للحوسبة السحابية
أظهرت إحدى الهجمات التي نُسبت للمجموعة مدى تعقيدها، حيث يُشتبه في استغلالها للبنية التحتية لمنصة JumpCloud لاستهداف عملاء في قطاع العملات المشفرة.
وبحسب شركة DTEX، فإن TraderTraitor على ارتباط بالمكتب الثالث في مكتب الاستطلاع العام الكوري الشمالي، وتُعد المجموعة الأكثر نشاطًا من بين نظيراتها في بيونغ يانغ فيما يتعلق بسرقة العملات المشفرة.
أساليب الهجوم: npm، GitHub، وحاويات خبيثة
شملت تكتيكات UNC4899 استخدام عروض عمل مزيفة أو مكتبات npm خبيثة، ثم التقرّب من الموظفين المستهدفين بعروض جذابة أو دعوات للتعاون في مشاريع GitHub، تؤدي في النهاية إلى تنفيذ مكتبات npm تحتوي على تعليمات ضارة.
ووفقًا لتقرير حديث من شركة Wiz المتخصصة في أمن السحابة، فإن TraderTraitor تُبدي اهتمامًا متزايدًا بأسطح الهجوم المرتبطة بالحوسبة السحابية، حيث تستهدف غالبًا عملاء مزودي الخدمات السحابية بدلًا من المزودين أنفسهم.
أدوات خبيثة لاستغلال Google Cloud وAWS
رصدت Google Cloud استهداف المهاجمين لبيئات Google Cloud وAmazon Web Services (AWS)، باستخدام أداة تنزيل تدعى GLASSCANNON، تقوم بدورها بتنزيل أبواب خلفية مثل PLOTTWIST وMAZEWIRE، التي تنشئ اتصالات بخوادم خاضعة لسيطرة المهاجمين.
وفي إحدى الحوادث، استخدم المهاجمون بيانات اعتماد مسروقة للاتصال عن بُعد عبر Google Cloud CLI باستخدام خدمة VPN مجهولة، ونفذوا عمليات استطلاع وسرقة بيانات اعتماد. ومع ذلك، حالت إعدادات التحقق الثنائي دون نجاح الهجوم في بدايته، إلا أن المهاجمين اكتشفوا لاحقًا أن الحساب يمتلك صلاحيات إدارية، فقاموا بتعطيل ميزة التحقق الثنائي، وبعد الوصول الناجح أعادوا تفعيلها للتمويه.
سيناريو مشابه في بيئة AWS
أما الهجوم الذي استهدف بيئة AWS، فقد اعتمد على استخدام مفاتيح وصول طويلة الأمد مأخوذة من ملف بيانات اعتماد AWS، للاتصال عن بُعد باستخدام AWS CLI. وعلى الرغم من القيود التي أعاقت تنفيذ إجراءات حساسة، تشير أدلة إلى سرقة ملفات تعريف الجلسات (session cookies)، والتي استُخدمت لاحقًا لتحديد تكوينات CloudFront ودلاء S3 المرتبطة بها.
وبحسب غوغل، استغل المهاجمون الصلاحيات الإدارية لرفع واستبدال ملفات JavaScript بأخرى خبيثة مصممة للتلاعب بوظائف العملات المشفرة وتحفيز تحويلات مالية إلى محافظ يسيطرون عليها، ما أسفر في نهاية المطاف عن سرقة ملايين الدولارات من العملات المشفرة.
تزايد النشاط في مستودعات npm وPyPI
تتزامن هذه التطورات مع إعلان شركة Sonatype أنها رصدت وحظرت 234 حزمة npm وPyPI خبيثة منذ يناير حتى يوليو 2025، جميعها مرتبطة بمجموعة Lazarus الكورية الشمالية.
بعض هذه الحزم تحتوي على أدوات لسرقة بيانات الاعتماد مثل BeaverTail، المرتبطة بحملة تجسسية طويلة الأمد تُعرف باسم “المقابلة المعدية”.
وأوضحت الشركة أن “هذه الحزم تُحاكي أدوات تطوير شائعة، لكنها تعمل كبرمجيات تجسس مصممة لسرقة البيانات السرية، وتحليل الأجهزة، وفتح أبواب خلفية دائمة في البنية التحتية الحيوية”.
وتعكس زيادة النشاط في النصف الأول من عام 2025 تحوّلًا استراتيجيًا ملحوظًا، حيث أصبحت Lazarus تزرع برمجيات خبيثة مباشرة داخل مستودعات الحزم مفتوحة المصدر مثل npm وPyPI بوتيرة مقلقة.
