كشف تقرير حديث أن اختراق بروتوكول دريفت بقيمة 270 مليون دولار كان نتيجة عملية استخباراتية معقدة لكوريا الشمالية استمرت ستة أشهر.
وفقاً لما تابعه فريق تيكبامين، بدأت القصة عندما تواصل المهاجمون مع مطوري بروتوكول Drift في خريف عام 2025 خلال مؤتمر دولي. قدم القراصنة أنفسهم على أنهم شركة تداول كمي تبحث عن فرص للاندماج التكنولوجي والاستثمار المالي.
كيف تمكن قراصنة كوريا الشمالية من اختراق دريفت؟
أظهر المهاجمون كفاءة تقنية عالية وخلفيات مهنية مقنعة للغاية. كما أثبتوا فهماً عميقاً لآلية عمل البروتوكول المالي. أدى ذلك بطبيعة الحال إلى إنشاء قنوات تواصل مستمرة لمناقشة استراتيجيات التداول وتطوير الأعمال.
بين شهري ديسمبر 2025 ويناير 2026، اتخذ القراصنة خطوات جريئة لتعزيز ثقة فريق العمل، شملت النقاط التالية:
- إنشاء وتفعيل محفظة نظام بيئي على منصة دريفت بنجاح.
- عقد جلسات عمل تقنية متعددة مع المساهمين والمطورين في المشروع.
- إيداع أكثر من مليون دولار من أموالهم الخاصة لإثبات الجدية الاستثمارية.
- بناء حضور تشغيلي حقيقي وموثوق داخل النظام البيئي للمنصة.
ما هي الثغرات التي استخدمت في سرقة 270 مليون دولار؟
التقى مساهمو دريفت بأفراد من المجموعة المهاجمة وجهاً لوجه في مؤتمرات دولية كبرى خلال شهري فبراير ومارس. بحلول موعد الهجوم المباغت في الأول من أبريل، كانت علاقة العمل والثقة قد امتدت لقرابة نصف عام كامل.
يشير تقرير تيكبامين التحليلي إلى أن الاختراق التقني تم بشكل أساسي عبر مسارين رئيسيين:
- تطبيق TestFlight مزيف: أقنع المهاجمون الضحايا بتحميل تطبيق يدّعون أنه محفظتهم الرقمية عبر منصة أبل التجريبية، والتي تتجاوز الفحص الأمني الصارم المعتاد في متجر التطبيقات الرسمي.
- ثغرة في محررات الأكواد: تم استغلال نقطة ضعف معروفة في منصات التطوير الشهيرة مثل VSCode و Cursor، مما سمح بتنفيذ تعليمات برمجية ضارة بمجرد فتح ملف أو مجلد دون أي تحذير للمطور.
تفاصيل تنفيذ الهجوم وسحب الأموال
بمجرد اختراق أجهزة المطورين، حصل المهاجمون على الصلاحيات والموافقات متعددة التوقيعات اللازمة لتنفيذ هجومهم المنظم. ظلت هذه المعاملات المالية الموقعة مسبقاً كامنة وغير مرئية لأكثر من أسبوع قبل تفعيلها المنتظر.
أسفر الهجوم عن استنزاف مذهل لـ 270 مليون دولار من خزائن البروتوكول في أقل من دقيقة واحدة. تم ربط هذا الاختراق لاحقاً بمجموعة UNC4736 المرتبطة بشكل مباشر بكوريا الشمالية، والمعروفة أيضاً في الأوساط الأمنية باسم AppleJeus.
هل الشخصيات التي قابلت فريق دريفت حقيقية؟
اللافت للانتباه أن الأفراد الذين حضروا المؤتمرات التقنية شخصياً لم يكونوا مواطنين من كوريا الشمالية. تعتمد هذه الجهات التهديدية المتقدمة على نشر وتوظيف وسطاء محترفين ذوي هويات مقنعة.
يتم تزويد هؤلاء الوسطاء بتاريخ وظيفي مفصل وشبكات مهنية حقيقية، مما يجعلهم قادرين على الصمود أمام أشد عمليات التدقيق والعناية الواجبة التي تجريها الشركات الكبرى قبل بدء الشراكات.
تحذيرات أمنية لشركات العملات الرقمية
تُعد هذه الحادثة واحدة من أكثر عمليات الهندسة الاجتماعية تعقيداً، وتسلط الضوء على تطور أساليب الاختراق المعتمدة على بناء الثقة طويلة الأمد بدلاً من البحث السريع عن الثغرات. وقد حث فريق دريفت جميع المنصات الأخرى على المراجعة الفورية لضوابط الوصول والصلاحيات.
يجب على الشركات والمؤسسات المالية الآن التعامل مع أي جهاز متصل بالمحافظ متعددة التوقيعات كهدف محتمل ونشط. تمثل هذه العملية الاستخباراتية جرس إنذار خطير لصناعة العملات الرقمية وقطاع الأمن السيبراني بأكمله.
