أظهرت حملة إلكترونية منسقة تستهدف شركات العملات المشفرة، أدلة تشير إلى تورط جهات فاعلة ضارة قد تكون مرتبطة بعمليات القرصنة التي ترعاها كوريا الشمالية. استهدفت الهجمات سلسلة توريد العملات المشفرة بشكل منهجي، بما في ذلك منصات التخزين، ومزودو برامج التبادل، والبورصات نفسها، مما أسفر عن سرقة شفرات المصدر المملوكة، والمفاتيح الخاصة، والأصول السحابية.
شملت العملية استغلال تطبيقات الويب بالتزامن مع بيانات اعتماد سحابية مسروقة، مما يجعلها واحدة من أكثر الاختراقات تزايدًا في قطاع العملات المشفرة مؤخرًا. تم الكشف عن هذه الهجمات من قبل باحثي الأمن السيبراني، مما سلط الضوء على التهديدات المتزايدة في مجال الأصول الرقمية.
تهديدات موجهة إلى شركات العملات المشفرة
استخدمت الجهات الفاعلة الضارة نقطتي دخول مختلفتين عبر المؤسسات الضحية. في أحد السيناريوهات، استغل المهاجمون ثغرة أمنية معروفة في إطار React2Shell (CVE-2025-55182)، باستخدام تقنيات مسح شامل وتجاوز جدار الحماية لتحديد منصات التخزين المكشوفة. هذه التقنية تسمح للمهاجمين بالوصول السريع وغير المصرح به.
في اختراق منفصل، وصل المهاجمون باستخدام رموز وصول AWS صالحة تم الحصول عليها مسبقًا، متجاوزين الحاجة إلى استغلال أولي بالكامل وانتقلوا مباشرة إلى تعداد البنية التحتية السحابية. تشير كلتا الطريقتين إلى مستوى عالٍ من التحضير يتجاوز القرصنة العشوائية، مما يؤكد طبيعة هذه العمليات الموجهة نحو المؤسسات التي تتعامل مع أصول رقمية حقيقية.
الرؤى التفصيلية للحملة
حدد باحثو Ctrl-Alt-Intel كلا سلسلتي الاختراق من خلال سلسلة من الدلائل المفتوحة المكشوفة التي تم اكتشافها على مدار أسبوعين في يناير 2026. أتاحت هذه العملية رؤية واضحة عبر جميع مراحل الهجوم.
استعاد المحققون ملفات من البنية التحتية العاملة للجهة الفاعلة الضارة، بما في ذلك سجلات تاريخ أوامر shell، وشفرات المصدر المؤرشفة، وتكوينات الأدوات. هذه النافذة النادرة إلى بيئة المهاجم وفرت رؤية واضحة عبر كل مرحلة من مراحل العملية، بدءًا من الأوامر الأولى التي تم تنفيذها بعد الوصول الأولي إلى إعداد القيادة والتحكم.
سرقة الأصول والمفاتيح الخاصة
داخل إحدى منصات التخزين المخترقة، استخرج المهاجمون شفرة المصدر الخلفية التي تضمنت ملفات “.env” تحتوي على مفاتيح خاصة مشفرة مسبقًا لمحافظ Tron Blockchain. أظهرت سجلات Blockchain نقل ما يقرب من 52.6 TRX في نفس فترة الاستغلال النشط، على الرغم من أن الباحثين أشاروا إلى أنه لا يزال من غير الواضح ما إذا كانت الجهات الفاعلة المشتبه بها والمرتبطة بكوريا الشمالية أم جهة فاعلة منفصلة قد قامت بهذا النقل. ومع ذلك، فإن وجود بيانات اعتماد مالية حية مضمنة مباشرة في تعليمات برمجية للتطبيقات أعطى أي مهاجم وصولًا فوريًا إلى أموال حقيقية.
امتدت المسروقات الأوسع إلى صور حاويات Docker التي تم سحبها من بورصة عملات مشفرة. احتوت هذه الصور على بيانات اعتماد قاعدة بيانات مشفرة مسبقًا، وتكوينات خدمة داخلية، ومنطق بورصة مملوك تم بناؤه باستخدام برامج من مزود Blockchain ChainUp، على الرغم من أن الباحثين قيموا أن المهاجمين اخترقوا عميل ChainUp، وليس الشركة نفسها.
داخل سلسلة هجوم AWS
أظهرت المرحلة التي تركز على السحابة من هذا الهجوم نهجًا منظمًا لاستغلال AWS. بعد التحقق من صحة بيانات الاعتماد المسروقة، أجرت الجهات الفاعلة الضارة مسحًا شاملاً عبر مثيلات EC2، وقواعد بيانات RDS، ومخازن S3، ووظائف Lambda، ومجموعات EKS، وأدوار IAM. قاموا بتصفية محتويات S3 باستخدام عمليات بحث grep تستهدف ملفات .pem و .key و .ppk، بالإضافة إلى ملفات التكوين التي تحتوي على كلمات رئيسية مثل “secret” و “cred” و “pass”. تم تنزيل ملفات حالة Terraform – التي تخزن تعيينات البنية التحتية وغالبًا ما تحتوي على كلمات مرور قواعد البيانات ومفاتيح API – وتم تحليلها بحثًا عن بيانات اعتماد.
بعد ذلك، قام المهاجمون بالتحول إلى مجموعة Kubernetes الخاصة بالضحية عن طريق تحديث ملف kubeconfig باستخدام الأمر “aws eks update-kubeconfig”، والمصادقة على kubectl من خلال AWS IAM. بمجرد الدخول، قاموا بإدراج جميع الحاويات قيد التشغيل، واستخرجوا ConfigMaps و Kubernetes Secrets كنص عادي، وسحبوا خمس صور حاويات Docker من Elastic Container Registry – وحفظوا كل واحدة كأرشيف tar قبل استخلاصها. لأغراض القيادة والتحكم، شغلت الجهات الفاعلة الضارة VShell على المنفذ 8082 واستخدمت FRP كوكيل نفق عبر المنفذ 53 – وهو منفذ DNS يهرب عادةً من مراقبة الشبكة القياسية. تم إجراء اتصالات بخادم VPS الأساسي الخاص بهم عبر IPv6 بدلاً من IPv4، وهو اختيار يتجاوز أدوات الكشف المصممة لمراقبة حركة مرور IPv4.
توصيات أمنية
يجب على فرق الأمن تحديث ثغرة CVE-2025-55182 على الفور ومراجعة جميع تطبيقات الويب المكشوفة علنًا. تحتاج بيئات AWS إلى سياسات IAM بأقل الامتيازات، وتناوب منتظم للرموز، وتنبيهات للمكالمات API غير المعتادة مثل سرد S3 بالجملة أو التعرض غير المتوقع لـ RDS العام.
تحتاج ملفات حالة Terraform إلى ضوابط وصول صارمة ويجب ألا تحتوي على أسرار نص عادي. لا ينبغي أبدًا احتواء شفرات المصدر على بيانات اعتماد مشفرة مسبقًا أو مفاتيح خاصة. يجب أن تغطي مراقبة الشبكة حركة مرور IPv6 والاتصالات الصادرة عبر المنفذ 53. يجب على سجلات الحاويات فرض قيود السحب، ويجب تحديد أذونات kubeconfig Kubernetes للمصادر المصرح بها فقط.