قالت شركة Radiant Capital إن الاختراق البالغ 50 مليون دولار على منصتها للتمويل اللامركزي (DeFi) في أكتوبر تم عبر البرمجيات الخبيثة التي تم إرسالها عبر Telegram من قبل هاكر مرتبط بكوريا الشمالية يتظاهر بأنه مقاول سابق.
وقال راديانت في تحديث لتاريخ 6 ديسمبر من التحقيق الجاري أن شركة الأمان المتعاقدة مانديانت قد قيمت "بثقة عالية أن هذا الهجوم يمكن أن يُنسب إلى جهة تهديد تابعة لجمهورية كوريا الديمقراطية الشعبية (DPRK)."
قالت المنصة إن أحد مطوري راديانت تلقى رسالة عبر تطبيق تيليجرام تحتوي على ملف مضغوط من "مقاول سابق موثوق به" في 11 سبتمبر يطلب تقديم ملاحظات حول جهد جديد كانوا يخططون له.
“بناءً على المراجعة، يُشتبه في أن هذه الرسالة قد نشأت من جهة تهديد مرتبطة بكوريا الشمالية تنتحل شخصية المقاول السابق”، وقالت “هذا الملف المضغوط، عند مشاركته للحصول على تعليقات بين المطورين الآخرين، سلّم في النهاية البرمجيات الخبيثة التي سهلت الاختراق التالي”.
في 16 أكتوبر، تم إجبار منصة DeFi على إيقاف أسواق الإقراض بعد أن اكتسب هاكر السيطرة على عدة مفاتيح خاصة للموقعين والعقود الذكية.
تم القبض على مجموعات قرصنة كورية شمالية وهم يستهدفون مستخدمي macOS بحملة جديدة باستخدام رسائل احتيالية ، وتطبيقات PDF مزيفة وتقنية لتجنب فحوص أمان Apple في 12 نوفمبر.
في أكتوبر، تم أيضًا القبض على هاكرز كوريا الشمالية يستغلون ثغرة في كروم من Google لسرقة بيانات اعتماد محفظة العملات المشفرة
المصدر:راديانت كابيتال
قالت راديانت إن الملف لم يثير أي شبهات أخرى لأن "طلبات مراجعة ملفات PDF تعتبر روتينية في الإعدادات المهنية"، وأن المطورين "يشاركون المستندات بهذا الشكل بشكل متكرر."
تم تزوير النطاق المرتبط بملف ZIP أيضًا على موقع الويب الشرعي للمقاول.
تم التسلل إلى أجهزة مطوري متعددين لـ Radiant خلال الهجوم، وعرضت واجهات الواجهة الأمامية بيانات معاملات حميدة بينما تم توقيع معاملات خبيثة في الخلفية.
أوضحت أن "الفحوصات والمحاكاة التقليدية لم تظهر أي اختلافات واضحة، مما يجعل التهديد غير مرئي تقريبًا خلال مراحل المراجعة العادية".
"تم تنفيذ هذا الخداع بسلاسة لدرجة أنه حتى مع أفضل الممارسات القياسية ل Radiant ، مثل محاكاة المعاملات في Tenderly ، والتحقق من بيانات الحمولة ، واتباع إجراءات التشغيل الموحدة المتوافقة مع معايير الصناعة في كل خطوة ، تمكن المهاجمون من اختراق العديد من أجهزة المطورين ، "كتب راديانت
مثال على ملف PDF مشوه يمكن استخدامه من قبل مجموعة قراصنة خبيثة. المصدر: * Radiant Capital*
تعتقد Radiant Capital أن ممثل التهديد المسؤول يعرف باسم "UNC4736" ، والذي يعرف أيضا باسم "Citrine Sleet" - يعتقد أنه متحالف مع وكالة الاستخبارات الرئيسية في كوريا الشمالية ، مكتب الاستطلاع العام (RGB) ، وتكهن بأنه مجموعة فرعية من مجموعة القرصنة Lazarus Group.
نقل القراصنة حوالي 52 مليون دولار من الأموال المسروقة من الحادث في 24 أكتوبر.
"يوضح هذا الحادث أنه حتى إجراءات التشغيل الموحدة الصارمة ، ومحافظ الأجهزة ، وأدوات المحاكاة مثل Tenderly ، والمراجعة البشرية الدقيقة يمكن التحايل عليها من قبل جهات تهديد متقدمة للغاية" ، كتب Radiant Capital في تحديثه.
ذات صلة:سرقة Radiant Capital بقيمة 58 مليون دولار تعتبر 'درساً' مكلفاً لصناعة DeFi
"تتطلب الاعتماد على التوقيع الأعمى والتحقق من الجهة الأمامية الذي يمكن تزويره تطوير حلول أقوى على مستوى الأجهزة لفك تشفير وتحقق أحمال المعاملات"، وأضافت
ليس هذه هي المرة الأولى التي يتم فيها اختراق Radiant هذا العام. توقفت المنصة عن أسواق الإقراض في يناير بعد استغلال قرض وميض بقيمة 4.5 مليون دولار.
بعد الاستغلالين هذا العام، انخفض القيمة الإجمالية المقفلة لراديانت بشكل كبير، من أكثر من 300 مليون دولار في نهاية العام الماضي إلى حوالي 5.81 مليون دولار حتى 9 ديسمبر، وفقًا لدافيلا.
مجلة:بيتكوين تصل إلى 100 ألف دولار، ترامب يعين بول أتكينز رئيسًا للجنة الأوراق المالية والبورصة، والمزيد: ملخص هودلر، 1 - 7 ديسمبر
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
تقول شركة راديانت كابيتال إن كوريا الشمالية تنكرت كمقاول سابق لتنفيذ اختراق بقيمة 50 مليون دولار
قالت شركة Radiant Capital إن الاختراق البالغ 50 مليون دولار على منصتها للتمويل اللامركزي (DeFi) في أكتوبر تم عبر البرمجيات الخبيثة التي تم إرسالها عبر Telegram من قبل هاكر مرتبط بكوريا الشمالية يتظاهر بأنه مقاول سابق.
وقال راديانت في تحديث لتاريخ 6 ديسمبر من التحقيق الجاري أن شركة الأمان المتعاقدة مانديانت قد قيمت "بثقة عالية أن هذا الهجوم يمكن أن يُنسب إلى جهة تهديد تابعة لجمهورية كوريا الديمقراطية الشعبية (DPRK)."
قالت المنصة إن أحد مطوري راديانت تلقى رسالة عبر تطبيق تيليجرام تحتوي على ملف مضغوط من "مقاول سابق موثوق به" في 11 سبتمبر يطلب تقديم ملاحظات حول جهد جديد كانوا يخططون له.
“بناءً على المراجعة، يُشتبه في أن هذه الرسالة قد نشأت من جهة تهديد مرتبطة بكوريا الشمالية تنتحل شخصية المقاول السابق”، وقالت “هذا الملف المضغوط، عند مشاركته للحصول على تعليقات بين المطورين الآخرين، سلّم في النهاية البرمجيات الخبيثة التي سهلت الاختراق التالي”.
في 16 أكتوبر، تم إجبار منصة DeFi على إيقاف أسواق الإقراض بعد أن اكتسب هاكر السيطرة على عدة مفاتيح خاصة للموقعين والعقود الذكية.
تم القبض على مجموعات قرصنة كورية شمالية وهم يستهدفون مستخدمي macOS بحملة جديدة باستخدام رسائل احتيالية ، وتطبيقات PDF مزيفة وتقنية لتجنب فحوص أمان Apple في 12 نوفمبر.
في أكتوبر، تم أيضًا القبض على هاكرز كوريا الشمالية يستغلون ثغرة في كروم من Google لسرقة بيانات اعتماد محفظة العملات المشفرة
المصدر: راديانت كابيتال![Hackers, North Korea]()
قالت راديانت إن الملف لم يثير أي شبهات أخرى لأن "طلبات مراجعة ملفات PDF تعتبر روتينية في الإعدادات المهنية"، وأن المطورين "يشاركون المستندات بهذا الشكل بشكل متكرر."
تم تزوير النطاق المرتبط بملف ZIP أيضًا على موقع الويب الشرعي للمقاول.
تم التسلل إلى أجهزة مطوري متعددين لـ Radiant خلال الهجوم، وعرضت واجهات الواجهة الأمامية بيانات معاملات حميدة بينما تم توقيع معاملات خبيثة في الخلفية.
أوضحت أن "الفحوصات والمحاكاة التقليدية لم تظهر أي اختلافات واضحة، مما يجعل التهديد غير مرئي تقريبًا خلال مراحل المراجعة العادية".
"تم تنفيذ هذا الخداع بسلاسة لدرجة أنه حتى مع أفضل الممارسات القياسية ل Radiant ، مثل محاكاة المعاملات في Tenderly ، والتحقق من بيانات الحمولة ، واتباع إجراءات التشغيل الموحدة المتوافقة مع معايير الصناعة في كل خطوة ، تمكن المهاجمون من اختراق العديد من أجهزة المطورين ، "كتب راديانت
مثال على ملف PDF مشوه يمكن استخدامه من قبل مجموعة قراصنة خبيثة. المصدر: * Radiant Capital*![Hackers, North Korea]()
تعتقد Radiant Capital أن ممثل التهديد المسؤول يعرف باسم "UNC4736" ، والذي يعرف أيضا باسم "Citrine Sleet" - يعتقد أنه متحالف مع وكالة الاستخبارات الرئيسية في كوريا الشمالية ، مكتب الاستطلاع العام (RGB) ، وتكهن بأنه مجموعة فرعية من مجموعة القرصنة Lazarus Group.
نقل القراصنة حوالي 52 مليون دولار من الأموال المسروقة من الحادث في 24 أكتوبر.
"يوضح هذا الحادث أنه حتى إجراءات التشغيل الموحدة الصارمة ، ومحافظ الأجهزة ، وأدوات المحاكاة مثل Tenderly ، والمراجعة البشرية الدقيقة يمكن التحايل عليها من قبل جهات تهديد متقدمة للغاية" ، كتب Radiant Capital في تحديثه.
ذات صلة: سرقة Radiant Capital بقيمة 58 مليون دولار تعتبر 'درساً' مكلفاً لصناعة DeFi
"تتطلب الاعتماد على التوقيع الأعمى والتحقق من الجهة الأمامية الذي يمكن تزويره تطوير حلول أقوى على مستوى الأجهزة لفك تشفير وتحقق أحمال المعاملات"، وأضافت
ليس هذه هي المرة الأولى التي يتم فيها اختراق Radiant هذا العام. توقفت المنصة عن أسواق الإقراض في يناير بعد استغلال قرض وميض بقيمة 4.5 مليون دولار.
بعد الاستغلالين هذا العام، انخفض القيمة الإجمالية المقفلة لراديانت بشكل كبير، من أكثر من 300 مليون دولار في نهاية العام الماضي إلى حوالي 5.81 مليون دولار حتى 9 ديسمبر، وفقًا لدافيلا.
مجلة: بيتكوين تصل إلى 100 ألف دولار، ترامب يعين بول أتكينز رئيسًا للجنة الأوراق المالية والبورصة، والمزيد: ملخص هودلر، 1 - 7 ديسمبر