Свят

Северна Корея стои зад глобален крипто хак: милиони потребители изложени на риск

1 април 2026, 09:41
Таралеж ПК

Северна Корея стои зад глобален крипто хак: милиони потребители изложени на риск

Северна Корея е в центъра на нов мащабен киберскандал, който според международни медии може да засегне милиони потребители по света. Хакерски групи, свързвани с режима в Пхенян, са успели да компрометират ключов софтуерен компонент, използван от хиляди компании и онлайн услуги. Това показват разследвания на CNN и Ройтерс, публикувани на 31 март.

В центъра на атаката стои софтуерен инструмент с името Axios – широко използвана библиотека с отворен код, която свързва приложения и онлайн услуги и се използва от хиляди компании по света. Според данни на Ройтерс, хакерите са внедрили злонамерен код в негово обновление, което е позволило разпространението на вируса към реални потребители и системи.

Това е класическа supply chain attack – атака по веригата на доставки, при която се компрометира самият софтуер, а не крайната жертва. Така зловредният код достига до огромен брой системи без да бъде засечен.

Според Ройтерс атаката е била засечена от експерти на Google, както и от киберсигурностни компании като SentinelOne и Elastic. Те предупреждават, че компрометираният софтуер може да даде достъп до:

логин данни и пароли
вътрешни корпоративни системи
крипто портфейли и финансови активи

Отговорността за атаката се свързва с група, обозначена като UNC1069, действаща от поне 2018 г. и свързана със севернокорейските служби.

Тази група е част от по-широката екосистема от хакерски структури на режима, включително известната Lazarus Group, която стои зад някои от най-големите кибератаки в света, включително крипто кражби за милиарди долари.

Защо атаката е толкова опасна

Axios не е обикновен софтуер. Той работи „зад кулисите“ на интернет – използва се при зареждане на сайтове, мобилни приложения и онлайн услуги.

„Всеки път, когато отваряте сайт или приложение, има голям шанс Axios да участва в процеса“, обяснява експерт от SentinelOne, цитиран от Ройтерс.

Това означава, че пробивът потенциално засяга:

уеб платформи
финтех услуги
криптоборси
корпоративни системи

Именно този широк обхват прави атаката глобална.

Крайната цел: криптовалути

По данни на анализатори и предишни разследвания, Северна Корея използва кибератаки като ключов източник на финансиране.

Само през 2025 г. хакери, свързани с режима, са откраднали над 2 милиарда долара в криптовалути, а общата сума за последните години надхвърля 6.7 милиарда долара.

Сред засегнатите в предишни атаки са платформи като:

Bybit (над 1.5 млрд. долара)
WOO X, Seedify, LND.fi

Тази атака показва нов етап в кибервойната. Вместо директни удари срещу банки или борси, се атакува инфраструктурата, върху която те работят.

Комбинацията от проникване в софтуер, скрит достъп до системи, последващи финансови атаки, което превръща подобни операции в трудно откриваеми и изключително ефективни.

Случаят не е просто поредният хак. Това е предупреждение. Когато компрометиран е софтуер, който стои в основата на интернет, рискът вече не е само за криптосектора. Рискът е за цялата дигитална икономика.

И този път атаката не идва от анонимни хакери, а от държава, която превръща киберпространството в инструмент за оцеляване и влияние.

Експерти по киберсигурност предупреждават, че подобен достъп може да бъде използван за кражба на чувствителни данни, проникване в корпоративни системи и източване на криптоактиви. В някои случаи подобни атаки остават незабелязани с месеци, което увеличава щетите.

Фокусът върху криптовалутите не е случаен. През последните години Северна Корея системно използва хакерски операции като източник на финансиране, заобикаляйки международните санкции. По оценки на анализатори, свързани с индустрията, севернокорейски групи стоят зад кражби за милиарди долари в криптоактиви, което ги превръща в един от най-активните държавни играчи в киберпрестъпността.

Настоящият случай показва и промяна в подхода. Вместо директни и шумни атаки, се използват сложни, трудно откриваеми методи, комбиниращи технологични уязвимости със социално инженерство. Това позволява на атакуващите да останат скрити и да действат дългосрочно.

Киберексперти предупреждават, че подобни операции вече не са просто престъпления с финансова цел. Те са част от по-широка стратегия, в която киберпространството се превръща в поле на геополитическо влияние и натиск.

Разследванията продължават, а очакванията са през следващите дни да станат ясни нови детайли за обхвата на атаката и конкретните засегнати системи. Засега обаче едно е ясно – става дума за атака, която далеч надхвърля рамките на криптосектора и поставя под въпрос сигурността на глобалната дигитална инфраструктура.