کارکنان IT کره شمالی از شغل‌های دورکاری برای نفوذ به شرکت‌های ارز دیجیتال استفاده می‌کنند: گزارش

کارمندان IT کره شمالی با استفاده از هویت‌های جعلی به نفوذ به شرکت‌های کریپتو و سرقت میلیون‌ها دلار دارایی دیجیتال از طریق کلاهبرداری‌های شغلی دورکار، هشدار داده‌اند.

گزارش‌های جداگانه‌ای که توسط این شرکت‌ها منتشر شده است، UNC4899، که به TraderTraitor نیز معروف است، یک گروه تهدید کره شمالی مرتبط با اطلاعات نظامی کشور را ردیابی کرده است.

بر اساس گزارش H2 2025 Cloud Threat Horizons از Google Cloud، UNC4899 تحت نظارت اداره کل شناسایی، آژانس اصلی اطلاعات خارجی کره شمالی فعالیت می‌کند.

این گروه از سال 2020 فعال بوده و بر روی بخش‌های بلاک‌چین و کریپتو تمرکز کرده و از تاکتیک‌های پیشرفته مهندسی اجتماعی و تکنیک‌های حمله خاص ابری استفاده می‌کند.

UNC4899 چگونه به محیط‌های ابری نفوذ کرد؟

گوگل دو مورد جداگانه را توصیف کرده است که در آن به UNC4899 کارمندان سازمان‌های مختلف را در یک مورد با استفاده از Google Cloud و در مورد دیگر با استفاده از AWS به خطر انداخت. در هر دو مورد، هکرها به عنوان استخدام‌کنندگان آزاد کار ظاهر شدند و با کارمندان از طریق لینکدین یا تلگرام تماس گرفتند.

پس از برقراری تماس، آنها قربانیان را متقاعد کردند که کانتینرهای مخرب Docker را روی ایستگاه‌های کاری خود اجرا کنند و دانلودرها و بک‌دورهایی را راه‌اندازی کردند که ارتباطاتی با زیرساخت تحت کنترل حمله‌کنندگان برقرار می‌کرد.

در عرض چند روز، این گروه به صورت جانبی در شبکه‌های داخلی حرکت کرده، اعتبارنامه‌ها را جمع‌آوری کرده و زیرساخت‌های مورد استفاده برای انجام تراکنش‌های کریپتو را شناسایی کردند.

در یک مورد، UNC4899 توانست احراز هویت چندعاملی را در یک حساب گوگل کلود با حقوق ویژه غیرفعال کند تا به خدمات مربوط به کیف پول دسترسی پیدا کند. پس از سرقت کریپتو به ارزش چند میلیون دلار، آنها دوباره MFA را فعال کردند تا از شناسایی فرار کنند.

در یک حادثه مرتبط با AWS، حمله‌کنندگان از کلیدهای دسترسی بلندمدت دزدیده شده استفاده کردند اما به دلیل استفاده اجباری قربانی از اعتبارنامه‌های موقت و سیاست‌های MFA با محدودیت‌هایی روبرو شدند. آنها با سرقت کوکی‌های جلسه، این دفاع‌ها را دور زدند که به آنها اجازه می‌داد فایل‌های جاوا اسکریپت ذخیره شده در سطل‌های AWS S3 را دستکاری کنند.

این فایل‌ها برای دوباره‌راهنمایی تعاملات کیف پول کریپتو به آدرس‌های تحت کنترل حمله‌کنندگان تغییر یافت و منجر به یک سرقت چند میلیون دلاری دیگر شد.

یک عملیات عظیم

شرکت امنیت ابری Wiz نیز به تحلیل UNC4899 پرداخته و یافته‌های جداگانه‌ای منتشر کرده است که با یافته‌های گوگل هم‌راستا است.

کارشناسان Wiz خاطرنشان کردند که این گروه با چندین نام مستعار فعالیت می‌کند، از جمله Jade Sleet، Slow Pisces و TraderTraitor، که هرکدام به مجموعه وسیع‌تری از تاکتیک‌ها که توسط نهادهای دولتی مختلف کره شمالی مانند Lazarus Group، BlueNoroff و APT38 استفاده می‌شود، اشاره دارد.

UNC4899 از سال 2020 فعال بوده است، اما تا سال 2023 بود که پیشنهادات شغلی جعلی به یک تاکتیک مرکزی تبدیل شد، به‌ویژه هدف قرار دادن کارمندان در صرافی‌های کریپتو، که این شرکت در گزارشی اخیر ذکر کرد.

از جمله نشت‌های مهمی که به این گروه نسبت داده شده است، هک 305 میلیون دلاری DMM Bitcoin ژاپن و نشت 1.5 میلیارد دلاری Bybit در اواخر 2024 می‌باشد.

Wiz هشدار داد که زیرساخت‌های ابری همچنان یک نقطه ورود یا سوء استفاده ثابت در این حملات باقی می‌ماند، زیرا بسیاری از شرکت‌های کریپتو در محیط‌های ابری با دفاع‌های محدود در محل فعالیت می‌کنند.

میلیون‌ها دلار کریپتو از دست رفته

برآوردهای خسارات مالی متفاوت اما همواره بالا باقی مانده است. طبق گزارش‌های گوگل و Wiz، خود UNC4899 در هر مورد چندین میلیون دلار سرقت کرده است، در حالی که آمار گسترده‌تری که توسط محققان خصوصی و نهادهای دولتی جمع‌آوری شده، به خسارات حتی بزرگتری اشاره می‌کند.

گزارش سال 2024 از شرکت تحلیلی بلاک‌چین Chainalysis نشان داد که هکرهای کره شمالی در آن سال به تنهایی 1.34 میلیارد دلار کریپتو سرقت کرده‌اند. به تازگی، محققان Wiz برآورد کردند که بازیگران تهدید مربوط به کره شمالی از ابتدای سال 2025 حدود 1.6 میلیارد دلار دارایی دیجیتال را سرقت کرده‌اند.

بجز این، یک محقق مستقل بلاک‌چین به نام ZachXBT برآورد کرده است که بین 345 تا 920 عامل کره شمالی ممکن است در شغل‌های صنعت کریپتو نفوذ کرده باشند و از آغاز سال 2025 به طور جمعی بیش از 16 میلیون دلار حقوق دریافت کرده‌اند.