پیانگ یانگ کے جاسوسوں کی طویل مہم کے طور پر نصف بلین ڈالر کی ڈکیتی بے نقاب

چھ ماہ کا انٹیلی جنس آپریشن ڈرفٹ پروٹوکول کے 270 ملین ڈالر کے استحصال سے پہلے تھا اور اسے شمالی کوریا کے ریاست سے وابستہ گروپ نے انجام دیا تھا، ٹیم کی طرف سے اتوار کو شائع ہونے والے ایک تفصیلی واقعہ کی تازہ کاری کے مطابق۔

حملہ آوروں نے سب سے پہلے 2025 کے موسم خزاں میں ایک بڑی کرپٹو کانفرنس میں رابطہ کیا، خود کو ایک مقداری تجارتی فرم کے طور پر پیش کیا جو Drift کے ساتھ ضم کرنے کے خواہاں ہیں۔

ڈرفٹ نے کہا کہ وہ تکنیکی طور پر روانی سے تھے، قابل تصدیق پیشہ ورانہ پس منظر رکھتے تھے، اور یہ سمجھتے تھے کہ پروٹوکول کیسے چلتا ہے۔ ایک ٹیلیگرام گروپ قائم کیا گیا تھا اور اس کے بعد تجارتی حکمت عملیوں اور والٹ انضمام کے بارے میں مہینوں کی اہم بات چیت تھی، تعاملات جو کہ ڈی فائی پروٹوکولز کے ساتھ تجارتی فرموں کے آن بورڈ کے لیے معیاری ہیں۔

دسمبر 2025 اور جنوری 2026 کے درمیان، گروپ نے ایکو سسٹم والٹ آن ڈرفٹ میں شامل کیا، شراکت داروں کے ساتھ متعدد ورکنگ سیشنز منعقد کیے، اپنے اپنے سرمائے میں سے $1 ملین جمع کیے، اور ماحولیاتی نظام کے اندر ایک فعال آپریشنل موجودگی قائم کی۔

بڑھے ہوئے شراکت داروں نے فروری اور مارچ تک کئی ممالک میں متعدد بڑی صنعتی کانفرنسوں میں گروپ کے افراد سے آمنے سامنے ملاقات کی۔ جس وقت 1 اپریل کو حملہ کیا گیا، تب تک یہ رشتہ تقریباً نصف سال پرانا ہو چکا تھا۔

ایسا لگتا ہے کہ سمجھوتہ دو ویکٹروں کے ذریعے ہوا ہے۔

ایک دوسرے نے TestFlight ایپلیکیشن ڈاؤن لوڈ کی، ایپل کا پلیٹ فارم پری ریلیز ایپس کی تقسیم کے لیے جو کہ App Store سیکیورٹی کے جائزے کو نظرانداز کرتی ہے، جسے گروپ نے اپنے والیٹ پروڈکٹ کے طور پر پیش کیا۔

ریپوزٹری ویکٹر کے لیے، ڈرفٹ نے سافٹ ویئر ڈویلپمنٹ میں سب سے زیادہ استعمال ہونے والے کوڈ ایڈیٹرز میں سے دو VSCode اور کرسر میں ایک معروف کمزوری کی طرف اشارہ کیا، کہ سیکیورٹی کمیونٹی 2025 کے آخر سے جھنڈا لگا رہی تھی، جہاں ایڈیٹر میں صرف فائل یا فولڈر کھولنا خاموشی سے کسی بھی قسم کے اشارے یا وارننگ کے بغیر صوابدیدی کوڈ پر عمل درآمد کرنے کے لیے کافی تھا۔

ایک بار جب آلات سے سمجھوتہ کیا گیا تو، حملہ آوروں کے پاس وہ تھا جو انہیں دو ملٹی سیگ منظوریوں کو حاصل کرنے کے لیے درکار تھا جس نے اس ہفتے کے شروع میں پائیدار غیر معمولی حملے کی تفصیل CoinDesk کو فعال کیا۔ وہ پہلے سے دستخط شدہ لین دین یکم اپریل کو عمل میں آنے سے پہلے ایک ہفتے سے زیادہ وقت تک غیر فعال رہے، جس سے پروٹوکول کے والٹس سے ایک منٹ میں 270 ملین ڈالر نکل گئے۔

انتساب UNC4736 کی طرف اشارہ کرتا ہے، شمالی کوریا کے ریاست سے وابستہ ایک گروپ جسے AppleJeus یا Citrine Sleet کے نام سے بھی ٹریک کیا جاتا ہے، دونوں آن چین فنڈ کے بہاؤ کی بنیاد پر ریڈیئنٹ کیپیٹل کے حملہ آوروں تک پہنچنے اور DPRK سے منسلک معروف شخصیات کے ساتھ آپریشنل اوورلیپ۔

تاہم جو لوگ کانفرنسوں میں ذاتی طور پر نظر آئے وہ شمالی کوریا کے شہری نہیں تھے۔ اس سطح پر DPRK کے خطرے کے اداکاروں کو مکمل طور پر تعمیر شدہ شناختوں، روزگار کی تاریخوں، اور مناسب مستعدی کو برداشت کرنے کے لیے بنائے گئے پیشہ ورانہ نیٹ ورکس کے ساتھ فریق ثالث کو تعینات کرنے کے لیے جانا جاتا ہے۔

ڈرفٹ نے دوسرے پروٹوکول پر زور دیا کہ وہ رسائی کے کنٹرول کا آڈٹ کریں اور ملٹی سیگ کو چھونے والے ہر ڈیوائس کو ممکنہ ہدف کے طور پر دیکھیں۔ وسیع تر مضمرات ایک ایسی صنعت کے لیے غیر آرام دہ ہے جو اپنے بنیادی سیکیورٹی ماڈل کے طور پر ملٹی سیگ گورننس پر انحصار کرتی ہے۔

لیکن اگر حملہ آور ایک ماحولیاتی نظام کے اندر ایک جائز موجودگی کے لیے چھ ماہ اور ایک ملین ڈالر خرچ کرنے، ذاتی طور پر ٹیموں سے ملنے، حقیقی سرمایہ دینے، اور انتظار کرنے کے لیے تیار ہیں، تو سوال یہ ہے کہ اس کو پکڑنے کے لیے کون سا سیکیورٹی ماڈل ڈیزائن کیا گیا ہے۔