Sjevernokorejski haker poznat kao UNC4899 pripisan je napadima usmjerenim na dvije različite organizacije putem pristupa njihovim zaposlenicima putem LinkedIna i Telegrama.
„Pod krinkom slobodnih radnih mjesta za razvoj softvera, UNC4899 je iskoristio tehnike socijalnog inženjeringa kako bi uspješno uvjerio ciljane zaposlenike da izvršavaju maliciozni Docker kontejnere na svojim radnim stanicama“, navodi se u [PDF] izvještaju o horizontima prijetnji u cloud-u za drugu polovinu 2025. godine od strane Googleovog odjela za cloud.
UNC4899 se preklapa s aktivnostima praćenim pod nadimcima Jade Sleet, PUKCHONG, Slow Pisces i TraderTraitor. Aktivan od najmanje 2020. godine, ovaj akter kojeg sponzorira država poznat je po ciljanju industrije kriptovaluta i blockchaina.
Značajno je da je hakerska grupa umiješana u značajne pljačke kriptovaluta , uključujući pljačku Axie Infinity u martu 2022. (625 miliona dolara), DMM Bitcoin u maju 2024. (308 miliona dolara) i Bybit u februaru 2025. (1,4 milijarde dolara).
Još jedan primjer koji ističe njegovu sofisticiranost je sumnja na iskorištavanje JumpCloudove infrastrukture za ciljanje kupaca unutar vertikale kriptovaluta.
Prema DTEX-u, TraderTraitor je povezan s Trećim biroom (ili Odjelom) Glavnog izviđačkog biroa Sjeverne Koreje i najplodnija je od svih hakerskih grupa iz Pjongjanga kada je u pitanju krađa kriptovaluta.
Napadi koje su izveli hakeri uključivali su korištenje mamaca vezanih za posao ili postavljanje maliciozni npm paketa , a zatim obraćanje zaposlenicima u ciljanim kompanijama s unosnom prilikom ili traženje od njih da sarađuju na GitHub projektu što bi zatim dovelo do izvršavanja lažnih npm biblioteka.
„TraderTraitor je pokazao kontinuirani interes za napade usmjerene na cloud i one koji su susjedni oblaku, često s konačnim ciljem kompromitiranja kompanija koje su korisnici cloud platformi, a ne samih platformi“, rekla je firma za sigurnost u cloud-u Wiz u detaljnom izvještaju TraderTraitor-a ove sedmice.
Napadi koje je primijetio Google Cloud usmjereni su na Google Cloud i Amazon Web Services (AWS) okruženja tih organizacija, otvarajući put za program za preuzimanje pod nazivom GLASSCANNON koji se zatim koristi za opsluživanje backdoor-ova poput PLOTTWIST-a i MAZEWIRE-a koji mogu uspostaviti veze sa serverom kojim upravlja napadač.
U incidentu koji je uključivao Google Cloud okruženje, otkriveno je da hakeri koriste ukradene kredencijale za udaljenu interakciju putem Google Cloud CLI-ja preko anonimne VPN usluge, provodeći opsežne aktivnosti izviđanja i krađe kredencijala. Međutim, njihovi napori su osujećeni zbog konfiguracije višefaktorske autentifikacije (MFA) primijenjene na kredencijale žrtve.
“UNC4899 je na kraju utvrdio da je račun žrtve imao administratorske privilegije za Google Cloud projekat i onemogućio je MFA zahtjeve”, saopštio je Google. “Nakon što su uspješno dobili pristup ciljanim resursima, odmah su ponovo omogućili MFA kako bi izbjegli otkrivanje.”
Navodi se da je upad usmjeren na AWS okruženje druge žrtve slijedio sličan shematski plan, samo što su ovaj put napadači koristili dugoročne pristupne ključeve dobivene iz AWS datoteke s kredencijalima za udaljenu interakciju putem AWS CLI-ja.
Iako su hakeri naišli na prepreke u kontroli pristupa koje su ih spriječile u izvođenju bilo kakvih osjetljivih radnji, Google je saopštio da je pronašao dokaze koji vjerovatno ukazuju na krađu kolačića sesije korisnika. Ovi kolačići su zatim korišteni za identifikaciju relevantnih CloudFront konfiguracija i S3 paketa.
Google je saopštio da je UNC4899 “iskoristio inherentne administratorske dozvole primijenjene na njihov pristup kako bi učitavao i zamjenjivao postojeće JavaScript datoteke onima koje sadrže zlonamjerni kod, a koje su dizajnirane za manipulisanje funkcijama kriptovalute i pokretanje transakcije s kriptovalutnim novčanikom ciljane organizacije”.
Napadi su, u oba slučaja, završili tako što su hakeri uspješno povukli nekoliko miliona kriptovaluta, dodala je kompanija.
Razvoj dolazi nakon što je Sonatype saopštio da je između januara i jula 2025. godine označio i blokirao 234 jedinstvena npm i PyPI paketa malicioznog softvera koji se pripisuju sjevernokorejskoj Lazarus grupi. Neke od ovih biblioteka su konfigurisane da izbace poznati kradljivac podataka pod nazivom BeaverTail , koji je povezan sa dugotrajnom kampanjom pod nazivom Contagious Interview.
„Ovi paketi oponašaju popularne alate za razvojne programere, ali funkcionišu kao špijunski implantati, dizajnirani za krađu tajni, profiliranje hostova i otvaranje trajnih stražnjih vrata u kritičnu infrastrukturu“, saopštila je firma za sigurnost softverskog lanca snabdijevanja . „Porast aktivnosti u prvoj polovini 2025. godine pokazuje strateški zaokret: Lazarus sada alarmantnom brzinom ugrađuje zlonamjerni softver direktno u registre paketa otvorenog koda, naime npm i PyPI.“
Izvor:The Hacker News