Protokol DeFi Radiant Capital pripisao je napad od 50 milijuna dolara koji je pretrpio u listopadu sjevernokorejskim hakerima.
Prema izvješću objavljenom 6. prosinca, napadači su počeli postavljati temelje za napad od 16. listopada sredinom rujna, kada je Telegram poruka od onoga što se činilo kao bivši izvođač radova od povjerenja poslana razvojnoj tvrtki Radiant Capital.
U poruci se navodi da izvođač traži novu priliku za karijeru u vezi s revizijom pametnih ugovora i traži povratne informacije. Uključivao je poveznicu na komprimiranu PDF datoteku koju je programer otvorio i podijelio s drugim kolegama.
Sada se vjeruje da je poruka došla od “glumca prijetnje povezanog s DNRK-om” koji je lažno predstavljao izvođača, navodi se u izvješću. Datoteka je sadržavala zlonamjerni softver pod nazivom INLETDRIFT koji je uspostavio trajna stražnja vrata za macOS dok je korisniku prikazivao PDF koji izgleda legitimno.
Radiant Capital priopćio je da tradicionalne provjere i simulacije nisu pokazale očita odstupanja, zbog čega je prijetnja gotovo nevidljiva tijekom uobičajenih faza pregleda.
Pristupom računalima hakeri su uspjeli preuzeti kontrolu nad nekoliko privatnih ključeva.
Sjevernokorejsku vezu identificirala je tvrtka za kibernetičku sigurnost Mandiant, iako je istraga još nedovršena. Mandiant je rekao da vjeruje da je napad orkestrirao UNC4736, grupa povezana s Glavnim uredom za izviđanje zemlje. Također je poznat kao AppleJeus ili Citrine Sleet.
Grupa je umiješana u nekoliko drugih napada povezanih s tvrtkama za kriptovalute. Prethodno je koristio lažne web stranice za kripto razmjenu kako bi prevario ljude da preuzmu zlonamjerni softver putem poveznica na otvorena radna mjesta i lažnih novčanika.
Incident je uslijedio nakon ranijeg nepovezanog hakiranja Radiant Capitala u siječnju, tijekom kojeg je izgubio 4,5 milijuna dolara.
