Atak na Drift za 285 mln USD efektem wielomiesięcznej operacji socjotechnicznej powiązanej z Koreą Północną - Security Bez Tabu

Atak na Drift za 285 mln USD efektem wielomiesięcznej operacji socjotechnicznej powiązanej z Koreą Północną

Cybersecurity news

Wprowadzenie do problemu / definicja

Platforma Drift poinformowała, że incydent z 1 kwietnia 2026 r., w wyniku którego skradziono około 285 mln USD, nie był jednorazowym naruszeniem technicznym. Według ustaleń był to rezultat długotrwałej, starannie zaplanowanej operacji socjotechnicznej, w której napastnicy przez wiele miesięcy budowali wiarygodność i relacje z osobami powiązanymi z ekosystemem firmy.

Sprawa pokazuje, że współczesne ataki na sektor kryptowalut coraz częściej opierają się nie tylko na lukach technologicznych, ale również na manipulacji, podszywaniu się pod partnerów biznesowych oraz wykorzystaniu zaufanych narzędzi i kanałów komunikacji.

W skrócie

  • Atak miał być przygotowywany od jesieni 2025 roku.
  • Napastnicy podszywali się pod legalnie działającą firmę tradingową.
  • Budowali relacje z osobami związanymi z Drift podczas konferencji i rozmów biznesowych.
  • W końcowej fazie wykorzystano prawdopodobnie złośliwe repozytorium otwierane w Visual Studio Code oraz fałszywą aplikację portfelową dystrybuowaną przez TestFlight.
  • Kampania została powiązana z aktorem UNC4736, łączonym z operacjami północnokoreańskimi wymierzonymi w branżę kryptowalut.

Kontekst / historia

Sektor kryptowalut od lat znajduje się w centrum zainteresowania grup powiązanych z Koreą Północną. Powodem jest zarówno wysoka wartość aktywów cyfrowych, jak i specyfika środowiska Web3, gdzie szybkość działania, rozproszone zespoły oraz intensywna współpraca z partnerami zewnętrznymi mogą tworzyć dodatkowe luki organizacyjne.

W przypadku Drift szczególnie istotne jest to, że atak nie rozpoczął się od klasycznej próby włamania. Zamiast tego przeciwnik miał najpierw nawiązać kontakt z osobami z otoczenia projektu podczas dużych wydarzeń branżowych. Kolejnym etapem były wielomiesięczne rozmowy dotyczące strategii handlowych, możliwych integracji i wspólnych działań biznesowych. Taki model działania miał stopniowo obniżać czujność ofiar i tworzyć pozory autentycznej współpracy.

To wpisuje się w znany schemat działań grup sponsorowanych przez państwo, które łączą rozpoznanie, fałszywe tożsamości i długofalową socjotechnikę z technicznym dostarczeniem złośliwego kodu dopiero wtedy, gdy cel uzna kontakt za wiarygodny.

Analiza techniczna

Z technicznego punktu widzenia incydent stanowi przykład ataku wieloetapowego, w którym element socjotechniczny był równie ważny jak sam mechanizm kompromitacji. Drift wskazał dwa prawdopodobne wektory wejścia.

Pierwszy scenariusz dotyczył repozytorium przekazanego w ramach rzekomych prac nad komponentem frontendowym. Podejrzewa się, że zawierało ono złośliwy projekt dla Visual Studio Code. Kluczową rolę miał odgrywać plik tasks.json, pozwalający na uruchamianie określonych zadań po otwarciu katalogu roboczego. Tego typu technika może umożliwić wykonanie złośliwych działań bez wyraźnego sygnału dla użytkownika, co zwiększa skuteczność infekcji.

Drugi możliwy wektor obejmował fałszywą aplikację portfelową udostępnianą przez Apple TestFlight. To szczególnie istotny element, ponieważ napastnicy wykorzystywali kanał, który dla wielu użytkowników wydaje się bardziej wiarygodny niż przypadkowy instalator lub plik pobrany z nieznanego źródła.

Na uwagę zasługuje również przygotowanie operacyjne. Fałszywe profile miały rozbudowaną historię zawodową, sieci kontaktów oraz ślady aktywności, które mogły przejść podstawową weryfikację. Dodatkowo kampania mogła wykorzystywać pośredników i wielowarstwową infrastrukturę operacyjną, co utrudnia jednoznaczne przypisanie i jeszcze bardziej zwiększa realizm całego scenariusza.

Przebieg ataku można zrekonstruować jako sekwencję obejmującą rozpoznanie celu, wybór odpowiednich osób, budowanie relacji online i offline, dostarczenie pozornie uzasadnionych materiałów roboczych, uzyskanie dostępu do środowiska, a następnie dalsze działania prowadzące do kradzieży aktywów.

Konsekwencje / ryzyko

Najważniejszym skutkiem incydentu jest potwierdzenie, że dzisiejsze zagrożenia dla firm kryptowalutowych nie ograniczają się do klasycznych podatności technicznych. Coraz częściej atakowana jest warstwa procesów, relacji i codziennych nawyków operacyjnych.

Dla organizacji oznacza to kilka poziomów ryzyka. Po pierwsze, wielomiesięczna socjotechnika zwiększa szansę na skuteczne obejście zabezpieczeń, ponieważ ofiara nie traktuje działań napastnika jako podejrzanych. Po drugie, wykorzystywanie repozytoriów kodu, narzędzi deweloperskich i kanałów testowych utrudnia odróżnienie legalnych działań od złośliwych. Po trzecie, w środowiskach DeFi oraz Web3 szczególnie groźne jest przejęcie dostępu do osób mających wpływ na integracje, konfigurację portfeli, wdrożenia lub operacje na aktywach o wysokiej wartości.

Ryzyko jest dodatkowo wzmacniane przez fakt, że aktorzy powiązani z Koreą Północną od lat specjalizują się w kampaniach wymierzonych w sektor finansowy i kryptowalutowy. Charakteryzuje ich cierpliwość, dyscyplina operacyjna oraz zdolność do szybkiego modyfikowania metod po ujawnieniu wcześniejszych technik.

Rekomendacje

Organizacje działające w obszarze kryptowalut, fintechu i rozwoju oprogramowania powinny traktować relacje biznesowe jako potencjalny wektor ataku. Ochrona wymaga połączenia kontroli technicznych, proceduralnych i organizacyjnych.

  • Każde zewnętrzne repozytorium kodu powinno być analizowane w środowisku izolowanym przed otwarciem na stacji roboczej pracownika.
  • Należy weryfikować pliki konfiguracyjne IDE, skrypty budowania, zależności oraz mechanizmy automatycznego uruchamiania.
  • Testowanie aplikacji portfelowych i narzędzi operacyjnych powinno odbywać się wyłącznie na wydzielonych urządzeniach laboratoryjnych, bez dostępu do produkcyjnych kont i kluczy.
  • Proces due diligence powinien obejmować niezależne potwierdzanie tożsamości partnerów, historii działalności i celu współpracy.
  • Warto wdrożyć polityki bezpieczeństwa dla narzędzi deweloperskich, w tym ograniczanie nieautoryzowanych rozszerzeń, monitorowanie zadań uruchamianych w IDE oraz analizę nietypowych zachowań w pipeline’ach.
  • Pracownicy powinni być szkoleni z rozpoznawania długoterminowej socjotechniki, szczególnie gdy nowy kontakt szybko buduje zaufanie i naciska na instalację narzędzi testowych lub otwarcie kodu poza standardowym procesem przeglądu.

Podsumowanie

Atak na Drift pokazuje, że nowoczesne operacje przeciwko firmom z sektora kryptowalut są złożonymi kampaniami łączącymi socjotechnikę, fałszywe persony, zaufane kanały dystrybucji i elementy kompromitacji środowisk developerskich. Kluczowym atutem napastników okazała się nie tylko technologia, ale przede wszystkim cierpliwość i umiejętność odgrywania roli wiarygodnego partnera biznesowego przez wiele miesięcy.

Dla branży to wyraźny sygnał, że bezpieczeństwo procesów, relacji i narzędzi pracy musi być traktowane równie poważnie jak bezpieczeństwo samej infrastruktury. W przeciwnym razie nawet dobrze chronione środowisko może zostać naruszone przez zaufanie zbudowane długo przed właściwym atakiem.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/04/285-million-drift-hack-traced-to-six.html
  2. Microsoft Visual Studio Code documentation and release context — https://code.visualstudio.com/
  3. CrowdStrike reporting on DPRK-linked cryptocurrency threat activity — https://www.crowdstrike.com/
  4. DomainTools Investigations on North Korean cyber operations — https://dti.domaintools.com/
  5. Chainalysis research on DPRK-linked cryptocurrency activity — https://www.chainalysis.com/