Gli hacker si sono introdotti in JumpCloud, con sede a Louisville, in Colorado, alla fine di giugno e hanno utilizzato il loro accesso ai sistemi dell'azienda per colpire i clienti delle società di criptovalute nel tentativo di rubare denaro digitale, hanno detto le fonti.

L'hack mostra come le spie informatiche nordcoreane, che un tempo si accontentavano di colpire le società di criptovalute una alla volta, stiano ora affrontando le aziende che possono dare loro accesso a più fonti di bitcoin e altre valute digitali.

JumpCloud, che ha riconosciuto l'hack in un post sul blog la scorsa settimana e l'ha attribuito a un "sofisticato attore di minacce sponsorizzato da uno Stato-nazione", non ha risposto alle domande di Reuters su chi fosse specificamente dietro l'hack e quali clienti fossero stati colpiti. Reuters non ha potuto accertare se alla fine sia stata rubata della valuta digitale a seguito dell'hack.

L'azienda di sicurezza informatica CrowdStrike Holdings, che sta collaborando con JumpCloud per indagare sulla violazione, ha confermato che "Labirinto Chollima" - il nome che dà a una particolare squadra di hacker nordcoreani - era dietro la violazione.

Il vicepresidente senior per l'intelligence di CrowdStrike, Adam Meyers, ha rifiutato di commentare cosa stessero cercando gli hacker, ma ha osservato che hanno una storia di obiettivi di criptovalute.

"Uno dei loro obiettivi principali è stato quello di generare entrate per il regime", ha detto.

La missione di Pyongyang presso le Nazioni Unite a New York non ha risposto immediatamente a una richiesta di commento. La Corea del Nord ha negato in precedenza di aver organizzato rapine di valuta digitale, nonostante le numerose prove - compresi i rapporti delle Nazioni Unite - che dimostrano il contrario.

Una ricerca indipendente ha sostenuto l'accusa di CrowdStrike.

Il ricercatore di cybersicurezza Tom Hegel, che non è stato coinvolto nell'indagine, ha dichiarato a Reuters che l'intrusione in JumpCloud è l'ultima di diverse violazioni recenti che dimostrano come i nordcoreani siano diventati abili negli "attacchi alla catena di approvvigionamento", o hack elaborati che funzionano compromettendo i fornitori di software o di servizi per rubare i dati - o il denaro - agli utenti a valle.

"A mio parere, la Corea del Nord sta davvero intensificando il suo gioco", ha detto Hegel, che lavora per l'azienda statunitense SentinelOne.

In un post sul blog che sarà pubblicato giovedì, Hegel ha affermato che gli indicatori digitali pubblicati da JumpCloud collegano gli hacker ad attività precedentemente attribuite alla Corea del Nord.

L'agenzia statunitense di vigilanza informatica CISA e l'FBI hanno rifiutato di commentare.

L'hack su JumpCloud - i cui prodotti sono utilizzati per aiutare gli amministratori di rete a gestire dispositivi e server - è emerso pubblicamente per la prima volta all'inizio del mese, quando l'azienda ha inviato un'e-mail ai clienti per dire che le loro credenziali sarebbero state cambiate "per abbondanza di cautela in relazione a un incidente in corso".

Nel post sul blog che ha riconosciuto che l'incidente era un hack, JumpCloud ha fatto risalire l'intrusione al 27 giugno. Il podcast Risky Business, incentrato sulla cybersicurezza, all'inizio di questa settimana ha citato due fonti che hanno affermato che la Corea del Nord era sospettata dell'intrusione.

Labyrinth Chollima è uno dei gruppi di hacker più prolifici della Corea del Nord e si dice che sia responsabile di alcune delle intrusioni informatiche più audaci e dirompenti del Paese isolato. Il suo furto di criptovalute ha portato alla perdita di somme ingenti: L'azienda di analisi blockchain Chainalysis ha dichiarato l'anno scorso che i gruppi legati alla Corea del Nord hanno rubato un valore stimato di 1,7 miliardi di dollari di denaro digitale attraverso molteplici hack.

Meyers di CrowdStrike ha detto che le squadre di hacker di Pyongyang non devono essere sottovalutate.

"Non credo che questo sia l'ultimo attacco alla catena di approvvigionamento nordcoreana che vedremo quest'anno", ha detto.