- UNC4899 menipu pengembang melalui AirDrop, beralih ke cloud, dan mencuri jutaan mata uang kripto.
- Peretas mengeksploitasi Kubernetes, mengubah pengaturan MFA, dan mengakses database sensitif untuk mencuri aset digital.
- Kelompok-kelompok yang terkait dengan Korea Utara semakin banyak menggunakan malware AI dan freelancer palsu untuk menargetkan pengembang blockchain.
Seorang pelaku ancaman Korea Utara, UNC4899, meluncurkan serangan canggih terhadap perusahaan cryptocurrency pada tahun 2025, mencuri jutaan aset digital. Para peretas menipu pengembang untuk mengunduh arsip yang tampaknya sah sebagai bagian dari kolaborasi sumber terbuka.
Pengembang mentransfernya ke perangkat perusahaan menggunakan AirDrop. Akibatnya, kode Python berbahaya yang disematkan mengeksekusi biner yang menyamar sebagai alat baris perintah Kubernetes. Backdoor ini memungkinkan penyerang untuk beralih ke cloud, memanen kredensial, dan memanipulasi infrastruktur penting.
Google Cloud menggambarkan serangan itu sebagai campuran dari “rekayasa sosial, eksploitasi mekanisme transfer data peer-to-peer perangkat pribadi-ke-perusahaan, alur kerja, dan akhirnya pivot ke cloud untuk menggunakan teknik hidup di luar cloud (LOTC).”
Penyerang Cloud Menguras Kripto melalui Kubernetes
Setelah UNC4899 masuk ke dalam sistem, mereka menjelajahi pengaturan Kubernetes perusahaan dan menggunakan token akun layanan yang dicuri untuk mendapatkan akses tingkat yang lebih tinggi. Mereka bahkan mengubah pengaturan otentikasi multi-faktor untuk mempermudah masuk. Para peretas kemudian mencapai bagian sensitif dari sistem yang menangani kontrol jaringan dan informasi pelanggan, termasuk dompet cryptocurrency.
Selanjutnya, mereka mengambil detail login database yang disimpan secara tidak aman di sistem, mengakses database produksi, dan membuat perubahan pada akun pengguna. Ini termasuk mengatur ulang kata sandi dan memperbarui kode MFA untuk akun bernilai tinggi. Pada akhirnya, para penyerang mampu menarik beberapa juta dolar dalam mata uang digital.
Terkait: Jaringan Pencucian Kripto Menggunakan $107 Juta dalam USDT untuk Memengaruhi Pemilu Moldova
UNC4899 juga menargetkan proses pengembangan otomatis perusahaan agar tetap tersembunyi di cloud. Mereka menanam perintah di penyebaran Kubernetes sehingga setiap kali pod baru dimulai, itu secara otomatis mengunduh backdoor.
Google menyarankan agar perusahaan memisahkan lingkungan cloud secara ketat, membatasi berbagi file peer-to-peer, dan memperhatikan aktivitas yang tidak biasa dalam kontainer. Selain itu, organisasi harus menggunakan autentikasi multifaktor tahan phishing dan manajemen rahasia yang kuat untuk mengurangi risiko pelanggaran.
Aktivitas Siber Korea Utara yang Lebih Luas
Kelompok terkait Korea Utara lainnya, seperti Konni, menggunakan malware yang dihasilkan AI dengan bantuan PowerShell untuk menargetkan pengembang blockchain. Penyerang ini mengirim pesan Discord berbahaya dengan malware yang dapat mencuri uang dan data.
Laporan menunjukkan bahwa lebih dari $16,5 juta diberikan kepada pekerja TI Korea Utara yang berpura-pura menjadi pekerja lepas yang sah pada tahun 2025 saja. Ini menunjukkan betapa berisikonya praktik perekrutan dan menyoroti perlunya pemeriksaan latar belakang yang lebih kuat dan kesadaran keamanan siber yang lebih baik.
Terkait: DOJ AS Akan Mencoba Kembali Pendiri Tornado Cash Roman Storm Musim Gugur Ini
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
