Indagine preliminare sull'incidente di hacking su Drift: organizzazione sospettata legata alla Corea del Nord avrebbe pianificato l'infiltrazione per sei mesi

Il 5 aprile, fonti ufficiali hanno riferito che Drift sta collaborando con le forze dell'ordine, partner forensi e team dell’ecosistema per condurre un’indagine approfondita sull’attacco informatico avvenuto il 1° aprile 2026. Attualmente, tutte le funzioni del protocollo sono state sospese, i wallet coinvolti sono stati rimossi dagli account multi-firma e gli indirizzi degli aggressori sono stati segnalati sulle piattaforme di trading e sui bridge cross-chain. Mandiant, società specializzata in sicurezza, è intervenuta nell’indagine. I risultati preliminari indicano che questo attacco non è stata un’azione a breve termine, bensì un’operazione di infiltrazione informatica durata circa sei mesi, caratterizzata da organizzazione e da un ampio supporto di risorse. Già nell’autunno del 2025, un gruppo che dichiarava di appartenere a una società di trading quantitativo aveva iniziato a interagire con i membri del team Drift in varie conferenze internazionali sulle criptovalute, e nei mesi successivi ha continuato a costruire relazioni e collaborazioni, arrivando persino a investire oltre 1 milione di dollari nella piattaforma per consolidare la propria credibilità. L’indagine ha rilevato che queste persone avevano competenze professionali e capacità tecniche, comunicando strategie di trading a lungo termine e piani di integrazione prodotto tramite gruppi Telegram e incontrando più volte i principali contributori in incontri dal vivo. Dopo l’attacco dell’aprile 2026, le relative conversazioni e i malware sono stati rapidamente eliminati. Drift ritiene che l’intrusione possa essere stata attuata attraverso diversi canali, tra cui l’induzione di membri del team a clonare repository contenenti codice dannoso o a scaricare applicazioni di test presentate come prodotti wallet. Inoltre, l’attacco potrebbe aver sfruttato vulnerabilità di VSCode e Cursor, già segnalate dalla comunità di sicurezza, per eseguire codice maligno senza che l’utente ne fosse consapevole. Sulla base dell’analisi dei flussi di fondi on-chain e dei modelli di comportamento, il team di sicurezza valuta preliminarmente che tale operazione sia collegata all’organizzazione responsabile dell’attacco contro Radiant Capital nel 2024, attribuita a gruppi di hacker nordcoreani (come UNC4736 / AppleJeus). È importante notare che le persone coinvolte nei contatti offline non erano di nazionalità nordcoreana, ma piuttosto intermediari terzi. Drift ha affermato che gli aggressori hanno costruito un sistema identitario completo e credibile, comprensivo di curricula professionali e background pubblici, per ottenere fiducia tramite interazioni di lungo periodo. L’indagine è ancora in corso e il team esorta il settore a rafforzare i controlli di sicurezza dei dispositivi e la gestione degli accessi.