El actor de amenaza vinculado a Corea del Finalidad conocido como UNC4899 se ha atribuido a ataques dirigidos a dos organizaciones diferentes al acercarse a sus empleados a través de LinkedIn y Telegram.
«Bajo la apariencia de oportunidades independientes para el trabajo de expansión de software, UNC4899 aprovechó las técnicas de ingeniería social para convencer con éxito a los empleados específicos de que ejecute contenedores de Docker maliciosos en sus respectivas estaciones de trabajo», dijo la división de la cúmulo de Google (PDF) en su referencia de Horizons de amenazas en la cúmulo para H2 2025.
UNC4899 se superpone con la actividad rastreada debajo de los apodos Jade Sleet, Pukchong, Slow Piscis y el comerciante. Activo desde al menos 2020, el actor patrocinado por el estado es conocido por su objetivo de las industrias de criptomonedas y blockchain.
En particular, el colección de piratería se ha implicado en los atractores de criptomonedas significativas, incluido el de Axie Infinity en marzo de 2022 ($ 625 millones), DMM Bitcoin en mayo de 2024 ($ 308 millones) y Bybit en febrero de 2025 ($ 1.4 mil millones).
Otro ejemplo que destaca su sofisticación es la sospecha de explotación de la infraestructura de JumpCloud para dirigirse a clientes aguas debajo en el interior de la derecho de la criptomoneda.
Según DTEX, el comerciante está afiliado a la tercera oficina (o unidad) de la Oficina Común de Examen de Corea del Finalidad y es el más prolífico de cualquiera de los grupos de piratería de Pyongyang cuando se proxenetismo de robo de criptomonedas.
Los ataques montados por el actor de amenaza han implicado utilizar los señuelos con temática de empleo o cargar paquetes de NPM maliciosos, y luego acercarse a los empleados de las compañías objetivo con una oportunidad lucrativa o pedirles que colaboren en un tesina GitHub que luego conduciría a la ejecución de las bibliotecas rebeldes de NPM.
«El comerciante ha demostrado un interés sostenido en las superficies de ataque centradas en la cúmulo y adyacentes en la cúmulo, a menudo con un objetivo final de comprometer a las empresas que son clientes de plataformas en la cúmulo en puesto de las plataformas mismas», dijo la firma de seguridad en la cúmulo Wiz en un referencia detallado del comerciante de comerciante esta semana.
Los ataques observados por Google Cloud se dirigieron a los entornos de Servicios web de Google Cloud y Amazon de las organizaciones respectivas (AWS), allanando el camino para un descargador llamado GlassCannon que luego se usa para servir en puros como Plottwist y Mazewire que puede establecer conexiones con un servidor controlado por el atacante.
En el incidente que involucra el entorno de Google Cloud, se ha antagónico que los actores de amenaza emplean credenciales robadas para interactuar de forma remota utilizando Google Cloud CLI sobre un servicio VPN ignorado, llevando a extremidad extensas actividades de robo de credenciales y registro. Sin incautación, fueron frustrados en sus esfuerzos oportuno a la configuración de autenticación multifactor (MFA) aplicada a las credenciales de la víctima.
«UNC4899 finalmente determinó que la cuenta de la víctima tenía privilegios administrativos para el tesina de Google Cloud y deshabilitó los requisitos de MFA», dijo Google. «A posteriori de obtener camino con éxito a los capital específicos, inmediatamente volvieron a habilitar el MFA para eludir la detección».
Se dice que la intrusión dirigida al entorno AWS de la segunda víctima siguió a un compendio de jugadas similar, solo que esta vez los atacantes usaron claves de camino a desprendido plazo obtenidas de un archivo de credencial de AWS para interactuar de forma remota a través de AWS CLI.
Aunque los actores de amenaza se encontraron con obstáculos de control de camino que les impidieron realizar cualquier entusiasmo delicada, Google dijo que encontró evidencia que probablemente indicó el robo de las cookies de sesión del legatario. Estas cookies se usaron luego para identificar configuraciones relevantes en la cúmulo y cubos S3.
UNC4899 «Aprovechó los permisos administrativos inherentes aplicados a su camino para cargar y reemplazar los archivos JavaScript existentes con los que contienen código taimado, que fueron diseñados para manipular las funciones de criptomonedas y activar una transacción con la billetera de criptomonedas de una ordenamiento objetivo», dijo Google.
Los ataques, en entreambos casos, terminaron con los actores de amenaza retirando con éxito varios millones de criptomonedas, agregó la compañía.
El expansión se produce cuando Sonatype dijo que marcó y bloqueó 234 paquetes únicos de Malware NPM y PYPI atribuidos al Corro Lázaro de Corea del Finalidad entre enero y julio de 2025. Algunas de estas bibliotecas están configuradas para eliminar una credencial conocida conocida como Beaverail, que se asocia con una campaña de larga duración duda con una entrevista contagiosa.
«Estos paquetes imitan las herramientas populares del desarrollador, pero funcionan como implantes de espionaje, diseñados para robar secretos, hosts de perfil y aclarar puertas traseras persistentes en infraestructura crítica», dijo la firma de seguridad de la prisión de suministro de software. «El aumento de la actividad en H1 2025 demuestra un pivote importante: Lázaro ahora está integrando malware directamente en registros de paquetes de código libre, a enterarse, NPM y PYPI, a un ritmo preocupante».
