تشنّ مجموعة لازاروس الكورية الشمالية حربًا إلكترونية على العملات المشفرة، والمطورون هم الهدف الجديد

قامت مجموعة لازاروس، وهي وحدة القرصنة سيئة السمعة في كوريا الشمالية، بتنفيذ هجمات إلكترونية جديدة في مجال العملات المشفرة مع تركيز متزايد على المطورين. 

اكتشف باحثو الأمن السيبراني خلال الأشهر القليلة الماضية أن المجموعة تقوم بتخريب حزم npm الخبيثة التي تسرق بياناتdent، وتستخرج بيانات محافظ العملات المشفرة، وتُنشئ ثغرة أمنية دائمة في بيئات التطوير. ويمثل هذا تصعيدًا خطيرًا في حربهم السيبرانية المستمرة منذ سنوات، والتي شهدت بالفعل بعضًا من أكبر عمليات سرقة العملات المشفرة في التاريخ.

وفقًا لتحقيق جديد أجراه فريق أبحاث Socket ، فقد اخترق فرع من مجموعة Lazarus مستودع npm، وهو أحد أشهر مديري الحزم لمطوري JavaScript.

ثم استخدم المخترقون تقنيات انتحال أسماء النطاقات لنشر نسخ خبيثة من حزم npm الشائعة، ما أدى إلى خداع المطورين غير المشتبه بهم وحملهم على تنزيل هذه البرامج. وتشمل هذه الحزم: is-buffer-validator، وyoojae-validator، وevent-handle-package، وarray-empty-validator، وreact-event-dependency، وauth-validator. 

عند تشغيلها، تقوم الحزم المخترقة بتثبيت برمجية BeaverTail الخبيثة. هذه الأداة "المتقدمة" قادرة على سرقةdentتسجيل الدخول، والبحث في ملفات المتصفح عن كلمات المرور المحفوظة، واستخراج الملفات من محافظ العملات المشفرة، مثل Solana وExodus.

لاحظ باحثو الأمن أن البيانات المسروقة تم إرسالها إلى خادم القيادة والتحكم (C2) المبرمج مسبقًا، وهو أسلوب عمل شائع تستخدمه مجموعة لازاروس لإعادة البياناتdentإلى عناصرها. 

يقول كيريل بويتشينكو، محلل استخبارات التهديدات في شركة سوكيت سيكيوريتي، إن الغرض منه هو سرقة ونقل البيانات المخترقة دون أن يتم اكتشافها، وكان يشكل تهديدًا خاصًا في عالم المطورين الذين يقومون ببناء تطبيقات مالية وتطبيقات البلوك تشين.

شنّ لازاروس هجوماً على شركة بايبت، وسرق ما يقرب من 1.46 مليار دولار

إضافةً إلى هذه الهجمات على سلاسل التوريد، ارتبط اسم مجموعة لازاروس بواحدة من أكبر سرقات العملات المشفرة على الإطلاق. ويُشتبه في أن أولى عملياتها كانت في 21 فبراير 2025، عندما اخترق قراصنة مرتبطون بالمجموعة منصة بايبت، إحدى أكبر منصات تداول العملات المشفرة في العالم، واستولوا على ما يُقدّر بنحو 1.46 مليار دولار من الأصول المشفرة.

كان الهجوم متطورًا للغاية، ويُزعم أنه انطلق من جهاز مخترق لأحد موظفي Safe{Wallet}، الشريك التقني لشركة Bybit. استغل المخترقون ثغرة أمنية في بنية محفظة Ethereum الخاصة بشركة Bybit، وقاموا بتعديل منطقtracالذكي لتحويل الأموال إلى محافظهم.

على الرغم من أن شركة Bybit عالجت المشكلة على الفور، إلا أن بيانًا من الرئيس التنفيذي بن تشو كشف أن 20% من الأموال المسروقة قد تم غسلها بالفعل عبر خدمات الخلط ولم يكن من trac .

تُعد هذه السلسلة الأخيرة من الهجمات جزءًا من جهود كوريا الشمالية الأوسع نطاقًا للتهرب من العقوبات الدولية المفروضة عليها عن طريق سرقة وغسل العملات المشفرة.

بحسب تقرير للأمم المتحدة صدر عام 2024، كان مجرمو الإنترنت الكوريون الشماليون مسؤولين عن أكثر من 35% من سرقات العملات المشفرة العالمية خلال العام الماضي، حيث جمعوا أصولاً مسروقة تزيد قيمتها عن مليار دولار. ولا تُعدّ مجموعة لازاروس مجرد عصابة إجرامية إلكترونية، بل تشكل أيضاً تهديداً جيوسياسياً، إذ يُقال إن الأموال المسروقة تُحوّل مباشرةً إلى برامج الأسلحة النووية والصواريخ الباليستية في البلاد.

وقد تطورت هجمات مجموعة لازاروس هذه على مر السنين، من عمليات اختراق مباشرة للبورصات إلى هجمات على سلسلة التوريد وحتى هجمات على المطورين ومستودعات البرامج.

من خلال إضافة أبواب خلفية إلى منصات مفتوحة المصدر مثل npm و PyPI و GitHub، تقوم المجموعة بتوسيع نطاق هجومها المحتمل إلى العديد من الأنظمة، مما يلغي الحاجة إلى اختراق منصات تداول العملات المشفرة مباشرة.

يطالب خبراء الأمن بتوفير حماية أكثر صرامة لمطوري العملات المشفرة 

مع إدراك هذه المخاطر المتزايدة، يحثّ خبراء الأمن السيبراني على تعزيز إجراءات الأمان للمطورين ومستخدمي العملات الرقمية، وتوفير الحماية لهم من المتسللين. ومن أفضل الممارسات في هذا الصدد التحقق من صحة حزم npm قبل تثبيتها، لأن انتحال أسماء النطاقات لا يزال من أكثر الأساليب شيوعًا التي يستخدمها مجرمو الإنترنت. 

يقوم برنامج Socket AI Scanner أيضًا tracحالات الشذوذ في تبعيات البرامج الخاصة بك أو تدقيق npm، مما يُعلمك ما إذا كانت هناك أي حزم مخترقة قيد الاستخدام ويسمح لك بإزالتها من تطبيقك قبل أن تتمكن من إحداث أي ضرر حقيقي.

يوصي الدليل بأن يأخذ المستخدمون والمطورون زمام المبادرة لحماية أنفسهم من خلال تمكين المصادقة متعددة العوامل (MFA) لمحافظ التبادل ومنصات المطورين مثل GitHub والحسابات الأخرى. 

تُعتبر مراقبة الشبكة الآن خط الدفاع الأول، إذ عادةً ما يرسل النظام المخترق رسائل إلى خادم تحكم خارجي، يقوم بدوره بتحميل التحديثات الخبيثة على الحاسوب المصاب. ويمكن لحظر حركة البيانات الصادرة غير المشروعة أن يحدّ من وصول المخترقين إلى هذه البيانات المسروقة.

أطلقت شركة Bybit برنامج مكافآت لاستعادة العملات المشفرة مع احتدام معركة أمن العملات المشفرة

عقب اختراق منصة Bybit، أطلقت المنصة برنامج مكافآت لاستعادة الأموال المسروقة، حيث تُمنح مكافآت تصل إلى 10% من قيمة الأموال المستردة.

في الوقت نفسه، ينشغل النظام البيئي الأوسع للعملات المشفرة بتعزيز ممارسات الأمان وتنبيه المطورين للحماية من نفس الممارسات التي يمكن أن تؤدي إلى هذا المسار المهدد.

لكن مع تقدم تكتيكات مجموعة لازاروس بوتيرة أسرع من أي وقت مضى، يقول المدافعون عن الشبكة إن الحرب على العملات المشفرة قد بدأت للتو.