رصدت شركة Ctrl-Alt-Intel للأمن السيبراني حملة جديدة يُعتقد أنها مرتبطة بعمليات سرقة العملات المشفرة التي تنفذها جهات مدعومة من كوريا الشمالية. الحملة تستهدف بشكل منهجي شركات العملات الرقمية عبر استغلال ثغرات في تطبيقات الويب، أبرزها ثغرة React2Shell (CVE-2025-55182)، إضافة إلى نهب مستأجرات AWS باستخدام بيانات اعتماد صحيحة، وتسريب برمجيات خاصة بالبورصات تحتوي على أسرار مضمّنة.
نطاق الاستهداف عبر سلسلة توريد العملات المشفرة
التقرير أوضح أن الهجمات لا تقتصر على البورصات نفسها، بل تمتد لتشمل مزوّدي البرمجيات الخاصة بالبورصات ومنصات Staking، ما يعني أن كامل سلسلة التوريد الخاصة بالعملات المشفرة أصبحت ضمن نطاق الاستهداف. هذا النمط يعكس استراتيجية شاملة تهدف إلى ضرب البنية التحتية الأساسية للنظام البيئي للعملات الرقمية، وليس مجرد سرقة حسابات فردية.
أساليب الهجوم
- استغلال ثغرات الويب: مثل ثغرة React2Shell التي تسمح بتنفيذ أوامر عن بُعد عبر تطبيقات مبنية على React.
- الوصول إلى بيئات سحابية: باستخدام بيانات اعتماد صحيحة لمستأجرات AWS، ما يتيح للمهاجمين التحكم في موارد حيوية.
- تسريب البرمجيات الخاصة بالبورصات: والتي تحتوي على أسرار مضمّنة مثل مفاتيح الوصول وكلمات مرور، ما يفتح الباب أمام هجمات لاحقة أكثر تعقيدًا.
تقييم الاستخبارات
بحسب Ctrl-Alt-Intel، فإن النشاط يتوافق بدرجة “ثقة متوسطة” مع أنماط حملات سرقة العملات المشفرة التي تنفذها كوريا الشمالية. هذا التقييم يستند إلى طبيعة الأهداف، الأساليب المستخدمة، والارتباط التاريخي بين كوريا الشمالية ومحاولات تمويل أنشطتها عبر سرقة العملات الرقمية.
دلالات أمنية
الحملة تكشف عن مستوى متقدم من التنسيق والقدرة على استغلال نقاط الضعف في البنية التحتية الرقمية لسوق العملات المشفرة. كما تؤكد أن التهديدات لم تعد مقتصرة على هجمات التصيّد أو البرمجيات الخبيثة التقليدية، بل تشمل استغلال مباشر للثغرات، سرقة بيانات اعتماد شرعية، واختراق سلاسل التوريد البرمجية.
