- UNC4899 обманул разработчика через AirDrop, переключился на облако и украл миллионы в криптовалюте.
- Хакеры использовали Kubernetes, изменяли настройки MFA и получали доступ к конфиденциальным базам данных для кражи цифровых активов.
- Группы, связанные с Северной Кореей, всё чаще используют вредоносное ПО на базе ИИ и фальшивых фрилансеров для атаки на разработчиков блокчейна.
Северокорейский злоумышленник UNC4899 в 2025 году начал сложную атаку на криптовалютную компанию, украв миллионы цифровых активов. Хакеры обманом заставили разработчика скачать на первый взгляд легитимный архив в рамках сотрудничества с открытым исходным кодом.
Разработчик перенёс его на корпоративное устройство с помощью AirDrop. В результате встроенный вредоносный код на Python запускал бинарный файл, маскируемый под командный инструмент Kubernetes. Этот бэкдор позволял злоумышленникам переключаться в облако, собирать учетные данные и управлять критически важной инфраструктурой.
Google Cloud описал атаку как смесь «социальной инженерии, эксплуатации механизмов передачи данных от личного устройства к корпоративному устройству, рабочих процессов и в конечном итоге перехода к облаку с применением методов жизни вне облака (LOTC)».
Облачные злоумышленники сбрасывают криптовалюту через Kubernetes
Когда UNC4899 попасли внутрь системы, они изучили систему Kubernetes компании и использовали украденные сервисные токены для получения доступа на более высоком уровне. Они даже изменили настройки многофакторной аутентификации, чтобы упростить вход. Затем хакеры достигли чувствительных частей системы, которые занимались сетевым контролем и информацией клиентов, включая криптовалютные кошельки.
Далее они получили данные для входа в базу данных, хранящиеся в системе ненадёжно, получили доступ к производственной базе данных и внесли изменения в учетные записи пользователей. Это включало сброс паролей и обновление MFA-кодов для высокоценных аккаунтов. В итоге злоумышленники смогли вывести несколько миллионов долларов в цифровой валюте.
Связано: Сеть отмывания криптовалют использовала $107 млн USDT для влияния на выборы в Молдове
UNC4899 также нацелилась на автоматизированные процессы разработки компании, чтобы оставаться скрытыми в облаке. Они внедрили команды в развертывания Kubernetes, чтобы каждый раз при запуске новой капсулы он автоматически скачивал бэкдор.
Google предлагает компаниям строго разделять облачные среды, ограничивать обмен файлами между пользователями и следить за необычной активностью в контейнерах. Кроме того, организациям следует использовать устойчивую к фишингу многофакторную аутентификацию и надёжное управление секретами, чтобы снизить риск утечки.
Более широкая киберактивность Северной Кореи
Другие группы, связанные с Северной Кореей, такие как Konni, используют вредоносное ПО, созданное ИИ, при поддержке PowerShell, для атаки на блокчейн-разработчиков. Эти злоумышленники отправляют вредоносные сообщения в Discord с вредоносным ПО, которое может воровать деньги и данные.
По сообщениям, только в 2025 году более 16,5 миллиона долларов поступили северокорейским IT-работникам, притворяющимся легитимными фрилансерами. Это показывает, насколько рискованными могут быть практики найма, и подчёркивает необходимость более строгих проверок биографии и повышения осведомлённости о кибербезопасности.
Связано: Министерство юстиции США вновь судит дело с сооснователем Tornado Cash Романом Стормом этой осенью
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
