Des hackers nord-coréens exploitent un dispositif de développement et volent des millions en crypto

• UNC4899 trompé un développeur via AirDrop, est passé au cloud et a volé des millions en cryptomonnaies.
• Les hackers ont exploité Kubernetes, modifié les paramètres de la MFA et accédé à des bases de données sensibles pour voler des actifs numériques.
• Les groupes liés à la Corée du Nord utilisent de plus en plus des malwares IA et de faux freelances pour cibler les développeurs de blockchain.

Un acteur de menace nord-coréen, UNC4899, a lancé une attaque sophistiquée contre une entreprise de cryptomonnaies en 2025, volant des millions d’actifs numériques. Les hackers ont trompé un développeur pour qu’il télécharge une archive apparemment légitime dans le cadre d’une collaboration open source.

Le développeur l’a transféré sur un appareil d’entreprise via AirDrop. En conséquence, le code Python malveillant intégré exécutait un binaire déguisé en outil en ligne de commande Kubernetes. Cette porte dérobée a permis aux attaquants de se tourner vers le cloud, de récolter des identifiants et de manipuler les infrastructures critiques.

Google Cloud a décrit l’attaque comme un mélange d’« ingénierie sociale, d’exploitation de mécanismes de transfert de données peer-to-peer d’appareils personnels à entreprise entre utilisateurs, de flux de travail, et d’un passage éventuel vers le cloud pour employer des techniques de vivre du cloud (LOTC). »

Les attaquants cloud drainent la crypto via Kubernetes

Une fois UNC4899 intégrés au système, ils ont exploré la configuration Kubernetes de l’entreprise et utilisé des jetons de compte de service volés pour accéder à un niveau supérieur. Ils ont même modifié les paramètres d’authentification multi-facteurs pour faciliter l’accès. Les hackers ont ensuite atteint des parties sensibles du système qui géraient les contrôles réseau et les informations clients, y compris les portefeuilles de cryptomonnaies.

Ensuite, ils ont récupéré les identifiants de base de données stockés de manière non sécurisée dans le système, accédé à la base de données de production et modifié les comptes utilisateurs. Cela incluait la réinitialisation des mots de passe et la mise à jour des codes MFA pour les comptes de grande valeur. Finalement, les assaillants ont pu retirer plusieurs millions de dollars en monnaie numérique.

En relation : Un réseau de blanchiment de cryptomonnaies a utilisé 107 millions de dollars en USDT pour influencer les élections en Moldavie

UNC4899 également ciblé les processus de développement automatisés de l’entreprise pour rester cachés dans le cloud. Ils ont implanté des commandes dans les déploiements de Kubernetes pour qu’à chaque nouvelle capsule qui démarrait, une porte dérobée soit automatiquement téléchargée.

Google suggère aux entreprises de garder les environnements cloud strictement séparés, de limiter le partage de fichiers entre pairs et de surveiller toute activité inhabituelle dans les conteneurs. De plus, les organisations devraient utiliser une authentification multifactorielle résistante au phishing et une gestion des secrets puissants pour réduire le risque de fuite.

Activité cybernétique nord-coréenne plus large

D’autres groupes liés à la Corée du Nord, comme Konni, utilisent des logiciels malveillants générés par IA avec l’aide de PowerShell pour cibler les développeurs de blockchain. Ces attaquants envoient des messages Discord malveillants avec des malwares capables de voler de l’argent et des données.

Selon des rapports, plus de 16,5 millions de dollars ont été investis en 2025 uniquement en 2025 pour des travailleurs informatiques nord-coréens qui se faisaient passer pour des pigistes légitimes. Cela montre à quel point les pratiques d’embauche peuvent être risquées et souligne la nécessité de vérifications des antécédents plus strictes et d’une meilleure sensibilisation à la cybersécurité.

En lien : Le DOJ américain va rejuger sa tentative de Tornado Cash, Roman Storm, cet automne