Un actor de amenaza relacionado con Corea del Norte conocido como UNC4899 se ha atribuido a ataques dirigidos a dos organizaciones diferentes al acercarse a los empleados a través de LinkedIn y Telegram.
«Bajo el pretexto de una oportunidad independiente para el trabajo de desarrollo de software, UNC4899 aprovechó la tecnología de ingeniería social para persuadir a los empleados dirigidos a administrar contenedores de Docker maliciosos en sus respectivas estaciones de trabajo».
UNC4899 se superpone con actividades rastreadas con Jade Mizore, Pukchon, Piscis Slow y Trager de Trader de Mónica. El actor patrocinado por el estado, que ha estado activo desde al menos 2020, es conocido por atacar a la industria de la criptomonedas y blockchain.
En particular, el grupo de piratería ha participado en robos clave de criptomonedas, incluida Axie Infinity ($ 625 millones) en marzo de 2022, DMM Bitcoin ($ 308 millones) en mayo de 2024 y Bybit ($ 1.4 mil millones) en febrero de 2025.
Otro ejemplo que destaca que el refinamiento es la supuesta explotación de la infraestructura de Jumpcloud para dirigirse a clientes posteriores dentro de las verticales de la criptomoneda.
Según DTEX, Traderraritor es parte del tercer (o división) de la Oficina de Reconocimiento de Corea del Norte, y es el más prolífico del grupo de piratería Pyongyang cuando se trata de robo de criptomonedas.
Los ataques adjuntos por los actores de amenaza implicaron explotar los señuelos con temas de empleo, cargar paquetes maliciosos de NPM, dar a los empleados de las compañías objetivo una oportunidad favorable o pedirles que cooperen con ellos en proyectos de GitHub, lo que lleva a la ejecución de bibliotecas de NPM rebeldes.
«El comerciante muestra un interés persistente en las superficies de ataque centradas en la nube y adyacentes en la nube. A menudo hay un objetivo final de comprometer a las empresas que son clientes de la plataforma en la nube en lugar de la plataforma en sí».
Los ataques observados por Google Cloud tienen el entorno de Google Cloud y Amazon Web Services (AWS) de cada organización, allanando el camino para un descargador llamado GlassCannon, permitiendo que las puestas como Prottwist y Mazewire establezcan conexiones con servidores controlados por atacantes.
En los casos que involucran entornos en la nube de Google, se ha encontrado que los actores de amenaza emplean credenciales robadas para interactuar de forma remota utilizando servicios de VPN anónimos utilizando la CLI de Google Cloud y llevan a cabo extensas actividades de robo de reconocimiento y calificación. Sin embargo, la configuración de autenticación multifactor (MFA) aplicada a las credenciales los impidió en sus esfuerzos.
«UNC4899 finalmente determinó que la cuenta de la víctima tenía privilegios administrativos en el proyecto de Google Cloud y anuló los requisitos de MFA», dijo Google. «Después de obtener acceso con éxito a los recursos específicos, repararon rápidamente el MFA nuevamente para evitar la detección».
Se dice que la intrusión dirigida al entorno AWS de la segunda víctima siguió a un libro de jugadas similar, pero esta vez interactuamos de forma remota a través de la AWS CLI utilizando claves de acceso a largo plazo obtenidas del archivo de credenciales de AWS.
Los funcionarios de amenazas encontraron obstáculos de control de acceso y les impidieron tomar medidas sensibles, pero dijo que Google había descubierto evidencia que probablemente indicaría el robo de una cookie de sesión del usuario. Luego usamos estas cookies para identificar la configuración del frente de la nube asociada y el cubo S3.
UNC4899 «utilizó los controles únicos que se aplican al acceso a cargar e intercambiar archivos JavaScript existentes, reemplazando las funciones de criptomonedas con algo que contiene código malicioso diseñado para manipular y activar las transacciones con la billetera de criptomonedas de la organización objetivo», dice Google.
En ambos casos, el ataque terminó con los actores de amenaza retirando con éxito millones de criptomonedas, agregó la compañía.
El desarrollo se llevará a cabo como se indicó que Sonatype marcó y bloqueó 234 paquetes únicos de malware NPM y PYPI entre enero y julio de 2025, que se atribuyen al Grupo Lazarus en Corea del Norte. Algunas de estas bibliotecas están configuradas para eliminar los robos de calificación conocidos llamados Beaverail, que están asociados con entrevistas consecutivas de muchos años de campañas.
«Estos paquetes imitan las herramientas populares de desarrolladores, pero actúan como implantes de espía diseñados para robar secretos, robar hosts de perfil y abrir puertas traseras permanentes a una infraestructura crítica», dice la compañía de seguridad de la cadena de suministro de software. «El aumento en la actividad en H1 2025 muestra un pivote estratégico. Lázaro incrusta el malware directamente en el registro de paquetes de código abierto, a saber, NPM y PYPI, a un ritmo increíble».
Source link
