كشفت تقارير أمنية أن مجموعة التهديد الكورية الشمالية المعروفة باسم UNC4899 تقف وراء حملة اختراق سحابية متقدمة استهدفت مؤسسة للعملات الرقمية في عام 2025، وأسفرت عن سرقة ملايين الدولارات من الأصول الرقمية. المجموعة تُعرف أيضاً بأسماء أخرى مثل Jade Sleet و TraderTraitor، وتُصنّف كجهة مدعومة من الدولة.
بداية الهجوم عبر الهندسة الاجتماعية
بدأت سلسلة الهجوم عندما تمكن المهاجمون من خداع أحد المطورين عبر أسلوب الهندسة الاجتماعية، حيث أقنعوه بتنزيل ملف أرشيفي بزعم التعاون في مشروع مفتوح المصدر. المطور نقل الملف إلى جهاز العمل باستخدام AirDrop، ثم تفاعل معه عبر بيئة تطوير مدعومة بالذكاء الاصطناعي، ما أدى إلى تشغيل كود بايثون خبيث. هذا الكود أطلق ملفاً تنكّر في صورة أداة kubectl الخاصة بـ Kubernetes، لكنه كان في الواقع باباً خلفياً يتصل بنطاق يسيطر عليه المهاجمون.
استغلال بيئة السحابة ورفع الامتيازات
بعد الوصول إلى الجهاز المؤسسي، تمكن المهاجمون من الانتقال إلى بيئة Google Cloud باستخدام الجلسات الموثقة والاعتمادات المتاحة. هناك بدأوا بجمع معلومات عن الخدمات والمشاريع، ثم اكتشفوا مضيفاً أساسياً (bastion host) وعدّلوا سياسات المصادقة متعددة العوامل للوصول إليه. لاحقاً، قاموا بتغيير إعدادات نشر Kubernetes لإضافة أوامر خبيثة تُنفذ تلقائياً عند إنشاء حاويات جديدة، ما وفر لهم وصولاً دائماً.
استهداف منصات CI/CD وقواعد البيانات
ركزت المجموعة على موارد مرتبطة بمنصة CI/CD الخاصة بالضحية، حيث حقنوا أوامر لعرض رموز الحسابات الخدمية في السجلات. باستخدام هذه الرموز، حصلوا على صلاحيات عالية سمحت لهم بالتحرك أفقياً واستهداف حاويات حساسة. ومن هناك، تمكنوا من استخراج بيانات اعتماد ثابتة مخزنة بشكل غير آمن في متغيرات البيئة، واستخدموها للوصول إلى قاعدة بيانات الإنتاج عبر Cloud SQL Auth Proxy. هذا مكّنهم من تنفيذ أوامر SQL لتغيير كلمات مرور الحسابات وتحديث مفاتيح المصادقة متعددة العوامل، ما أتاح لهم السيطرة على حسابات عالية القيمة وسحب ملايين الدولارات.
دروس أمنية وتوصيات
الحادثة أبرزت خطورة نقل البيانات بين الأجهزة الشخصية والمؤسسية عبر قنوات مثل AirDrop، إضافة إلى ضعف إدارة الأسرار في بيئات الحوسبة السحابية. وأوصت Google المؤسسات بتبني استراتيجية دفاع متعددة الطبقات تشمل:
- تفعيل وصول سياقي ومصادقة متعددة العوامل مقاومة للتصيد.
- فرض عزلة صارمة داخل بيئات التشغيل السحابية.
- مراقبة العمليات غير المتوقعة داخل الحاويات.
- إدارة قوية للأسرار والاعتمادات.
- تعطيل أو تقييد مشاركة الملفات عبر AirDrop أو البلوتوث على أجهزة العمل.
هذه التوصيات تهدف إلى تقليل مساحة الهجوم والحد من الأضرار المحتملة في حال وقوع اختراق مشابه.
