- UNC4899 enganou um desenvolvedor via AirDrop, migrou para a nuvem e roubou milhões em criptomoedas.
- Hackers exploraram o Kubernetes, alteraram configurações de MFA e acessaram bancos de dados sensíveis para roubar ativos digitais.
- Grupos ligados à Coreia do Norte usam cada vez mais malware de IA e freelancers falsos para atacar desenvolvedores de blockchain.
Um ator de ameaça norte-coreano, UNC4899, lançou um ataque sofisticado contra uma empresa de criptomoedas em 2025, roubando milhões em ativos digitais. Os hackers enganaram um desenvolvedor para baixar um arquivo aparentemente legítimo como parte de uma colaboração de código aberto.
O desenvolvedor transferiu para um dispositivo corporativo usando AirDrop. Como resultado, o código malicioso em Python embutido executava um binário disfarçado de ferramenta de linha de comando do Kubernetes. Essa porta dos fundos permitiu que atacantes migrassem para a nuvem, coletassem credenciais e manipulassem infraestrutura crítica.
O Google Cloud descreveu o ataque como uma mistura de “engenharia social, exploração de mecanismos de transferência de dados peer-to-peer de dispositivos pessoais para corporativos, fluxos de trabalho e eventual migração para a nuvem para empregar técnicas de viver da nuvem (LOTC).”
Atacantes na Nuvem drenam criptomoedas via Kubernetes
Uma vez que UNC4899 entraram no sistema, exploraram a configuração Kubernetes da empresa e usaram tokens de conta de serviço roubados para obter acesso de nível superior. Eles até mudaram as configurações de autenticação multifator para facilitar a entrada. Os hackers então alcançaram partes sensíveis do sistema que lidavam com os controles de rede e informações dos clientes, incluindo carteiras de criptomoedas.
Em seguida, eles pegaram os dados de login do banco de dados armazenados de forma insegura no sistema, acessaram o banco de dados de produção e fizeram alterações nas contas dos usuários. Isso incluiu redefinir senhas e atualizar códigos MFA para contas de alto valor. No final, os atacantes conseguiram sacar vários milhões de dólares em moeda digital.
Relacionado: Rede de Lavagem de Criptomoedas Usou US$ 107 Milhões em USDT para Influenciar as Eleições na Moldávia
UNC4899 também mirou os processos automatizados de desenvolvimento da empresa para permanecer ocultos na nuvem. Eles plantaram comandos nas implantações do Kubernetes para que, toda vez que um novo pod começasse, ele baixasse automaticamente uma backdoor.
O Google sugere que as empresas mantenham os ambientes em nuvem estritamente separados, limitem o compartilhamento de arquivos entre pares e fiquem atentos a atividades incomuns em contêineres. Além disso, as organizações devem usar autenticação multifator resistente a phishing e gerenciamento forte de segredos para reduzir o risco de violação.
Atividade Cibernética Norte-Coreana Maior
Outros grupos relacionados à Coreia do Norte, como Konni, estão usando malware gerado por IA com a ajuda do PowerShell para mirar desenvolvedores de blockchain. Esses atacantes enviam mensagens maliciosas no Discord com malwares que podem roubar dinheiro e dados.
Relatórios mostram que mais de 16,5 milhões de dólares foram destinados a trabalhadores de TI norte-coreanos que fingiam ser freelancers legítimos só em 2025. Isso mostra o quão arriscadas as práticas de contratação podem ser e destaca a necessidade de verificações de antecedentes mais rigorosas e uma maior conscientização sobre cibersegurança.
Relacionado: Departamento de Justiça dos EUA vai rejulgar o cofundador do Tornado Cash, Roman Storm, neste outono
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
