کارکنان IT کره شمالی از شغلهای دورکاری برای نفوذ به شرکتهای ارز دیجیتال استفاده میکنند: گزارش

کارمندان IT کره شمالی با استفاده از هویتهای جعلی به نفوذ به شرکتهای کریپتو و سرقت میلیونها دلار دارایی دیجیتال از طریق کلاهبرداریهای شغلی دورکار، هشدار دادهاند.
- عملههای تهدید کره شمالی UNC4899 به طور فزایندهای هدف شرکتهای کریپتو قرار میگیرند.
- هر دو محیط Google Cloud و AWS از سوی این گروه در سرقتهای چند میلیون دلاری کریپتو مورد سوء استفاده قرار گرفتهاند.
گزارشهای جداگانهای که توسط این شرکتها منتشر شده است، UNC4899، که به TraderTraitor نیز معروف است، یک گروه تهدید کره شمالی مرتبط با اطلاعات نظامی کشور را ردیابی کرده است.
بر اساس گزارش H2 2025 Cloud Threat Horizons از Google Cloud، UNC4899 تحت نظارت اداره کل شناسایی، آژانس اصلی اطلاعات خارجی کره شمالی فعالیت میکند.
این گروه از سال 2020 فعال بوده و بر روی بخشهای بلاکچین و کریپتو تمرکز کرده و از تاکتیکهای پیشرفته مهندسی اجتماعی و تکنیکهای حمله خاص ابری استفاده میکند.
UNC4899 چگونه به محیطهای ابری نفوذ کرد؟
گوگل دو مورد جداگانه را توصیف کرده است که در آن به UNC4899 کارمندان سازمانهای مختلف را در یک مورد با استفاده از Google Cloud و در مورد دیگر با استفاده از AWS به خطر انداخت. در هر دو مورد، هکرها به عنوان استخدامکنندگان آزاد کار ظاهر شدند و با کارمندان از طریق لینکدین یا تلگرام تماس گرفتند.
پس از برقراری تماس، آنها قربانیان را متقاعد کردند که کانتینرهای مخرب Docker را روی ایستگاههای کاری خود اجرا کنند و دانلودرها و بکدورهایی را راهاندازی کردند که ارتباطاتی با زیرساخت تحت کنترل حملهکنندگان برقرار میکرد.
در عرض چند روز، این گروه به صورت جانبی در شبکههای داخلی حرکت کرده، اعتبارنامهها را جمعآوری کرده و زیرساختهای مورد استفاده برای انجام تراکنشهای کریپتو را شناسایی کردند.
در یک مورد، UNC4899 توانست احراز هویت چندعاملی را در یک حساب گوگل کلود با حقوق ویژه غیرفعال کند تا به خدمات مربوط به کیف پول دسترسی پیدا کند. پس از سرقت کریپتو به ارزش چند میلیون دلار، آنها دوباره MFA را فعال کردند تا از شناسایی فرار کنند.
در یک حادثه مرتبط با AWS، حملهکنندگان از کلیدهای دسترسی بلندمدت دزدیده شده استفاده کردند اما به دلیل استفاده اجباری قربانی از اعتبارنامههای موقت و سیاستهای MFA با محدودیتهایی روبرو شدند. آنها با سرقت کوکیهای جلسه، این دفاعها را دور زدند که به آنها اجازه میداد فایلهای جاوا اسکریپت ذخیره شده در سطلهای AWS S3 را دستکاری کنند.
این فایلها برای دوبارهراهنمایی تعاملات کیف پول کریپتو به آدرسهای تحت کنترل حملهکنندگان تغییر یافت و منجر به یک سرقت چند میلیون دلاری دیگر شد.
یک عملیات عظیم
شرکت امنیت ابری Wiz نیز به تحلیل UNC4899 پرداخته و یافتههای جداگانهای منتشر کرده است که با یافتههای گوگل همراستا است.
کارشناسان Wiz خاطرنشان کردند که این گروه با چندین نام مستعار فعالیت میکند، از جمله Jade Sleet، Slow Pisces و TraderTraitor، که هرکدام به مجموعه وسیعتری از تاکتیکها که توسط نهادهای دولتی مختلف کره شمالی مانند Lazarus Group، BlueNoroff و APT38 استفاده میشود، اشاره دارد.
UNC4899 از سال 2020 فعال بوده است، اما تا سال 2023 بود که پیشنهادات شغلی جعلی به یک تاکتیک مرکزی تبدیل شد، بهویژه هدف قرار دادن کارمندان در صرافیهای کریپتو، که این شرکت در گزارشی اخیر ذکر کرد.
از جمله نشتهای مهمی که به این گروه نسبت داده شده است، هک 305 میلیون دلاری DMM Bitcoin ژاپن و نشت 1.5 میلیارد دلاری Bybit در اواخر 2024 میباشد.
Wiz هشدار داد که زیرساختهای ابری همچنان یک نقطه ورود یا سوء استفاده ثابت در این حملات باقی میماند، زیرا بسیاری از شرکتهای کریپتو در محیطهای ابری با دفاعهای محدود در محل فعالیت میکنند.
میلیونها دلار کریپتو از دست رفته
برآوردهای خسارات مالی متفاوت اما همواره بالا باقی مانده است. طبق گزارشهای گوگل و Wiz، خود UNC4899 در هر مورد چندین میلیون دلار سرقت کرده است، در حالی که آمار گستردهتری که توسط محققان خصوصی و نهادهای دولتی جمعآوری شده، به خسارات حتی بزرگتری اشاره میکند.
گزارش سال 2024 از شرکت تحلیلی بلاکچین Chainalysis نشان داد که هکرهای کره شمالی در آن سال به تنهایی 1.34 میلیارد دلار کریپتو سرقت کردهاند. به تازگی، محققان Wiz برآورد کردند که بازیگران تهدید مربوط به کره شمالی از ابتدای سال 2025 حدود 1.6 میلیارد دلار دارایی دیجیتال را سرقت کردهاند.
بجز این، یک محقق مستقل بلاکچین به نام ZachXBT برآورد کرده است که بین 345 تا 920 عامل کره شمالی ممکن است در شغلهای صنعت کریپتو نفوذ کرده باشند و از آغاز سال 2025 به طور جمعی بیش از 16 میلیون دلار حقوق دریافت کردهاند.