De Noord-Korea-gekoppelde dreigingsacteur bekend als UNC4899 is toegeschreven aan aanvallen die zich richten op twee verschillende organisaties door hun werknemers te benaderen via LinkedIn en Telegram.
“Onder het mom van freelance kansen voor softwareontwikkelingswerk, gebruikten UNC4899 technieken voor social engineering social engineering om de gerichte werknemers met succes te overtuigen om kwaadaardige Docker -containers in hun respectieve werkstations uit te voeren,” zei Google’s Cloud Division (PDF) in zijn cloudbedreigingshorizonsrapport voor H2 2025.
UNC4899 overlapt met activiteit gevolgd onder de monikers Jade Sleet, Pukchong, Slow Vissen en Tradertraitor. Actief sinds ten minste 2020, staat de door de staat gesponsorde acteur bekend om zijn targeting van cryptocurrency en blockchain-industrie.
Met name is de hackgroep betrokken bij belangrijke cryptocurrency overvallen, waaronder die van Axie Infinity in maart 2022 ($ 625 miljoen), DMM Bitcoin in mei 2024 ($ 308 miljoen) en Bybit in februari 2025 ($ 1,4 miljard).
Een ander voorbeeld dat zijn verfijning benadrukt, is de vermoedelijke exploitatie van JumpCloud’s infrastructuur om zich te richten op stroomafwaartse klanten binnen de verticale cryptocurrency.
Volgens DTEX is TraderTraitor aangesloten bij het derde bureau (of afdeling) van het Reconnaissance General Bureau van Noord -Korea en is het de meest productieve van de pyongyang -hackgroepen als het gaat om diefstal van cryptocurrency.
Aanvallen die door de dreigingsacteur zijn gemonteerd, hebben gebruik gemaakt van kunststal met werkthema’s of het uploaden van kwaadaardige NPM-pakketten, en vervolgens werknemers benaderen bij doelwitbedrijven met een lucratieve kans of hen vragen om samen te werken aan een GitHub-project dat vervolgens zou leiden tot de uitvoering van de rogue NPM-bibliotheken.
“TrainerTraitor heeft een langdurige interesse aangetoond in cloud-centrische en cloud-aangrenzende aanvalsoppervlakken, vaak met een definitief doel om bedrijven te compromitteren die klanten van cloudplatforms zijn in plaats van de platforms zelf,” zei cloudbeveiligingsbedrijf Wiz deze week in een gedetailleerd rapport van TraderTraitor.
De aanvallen die door Google Cloud werden waargenomen, richtten zich op de omgevingen Google Cloud en Amazon Web Services (AWS) van de respectieve organisaties, waarbij de weg wordt vrijgemaakt voor een downloader genaamd Glasscannon die vervolgens wordt gebruikt om achterdeuren zoals Plottwist en Mazewire te dienen die verbindingen kunnen leggen met een aanvaller-gecontroleerde server.
In het incident met de Google Cloud -omgeving is gevonden dat de dreigingsactoren gestolen referenties gebruiken om op afstand Google Cloud CLI te gebruiken via een anonieme VPN -service, met uitgebreide verkennings- en diefstalactiviteiten van de referenties. Ze werden echter gedwarsboomd in hun inspanningen vanwege de Multi-Factor Authentication (MFA) -configuratie die op hun inloggegevens werd toegepast.
“UNC4899 heeft uiteindelijk bepaald dat het account van het slachtoffer administratieve privileges had voor het Google Cloud -project en de MFA -vereisten uitgeschakeld,” zei Google. “Nadat ze met succes toegang hebben verkregen tot de beoogde bronnen, hebben ze MFA onmiddellijk opnieuw ingesteld om detectie te ontwijken.”
De inbraak gericht op de AWS-omgeving van het tweede slachtoffer zou een soortgelijk playbook hebben gevolgd, alleen deze keer gebruikten de aanvallers langetermijntoegangsleutels verkregen uit een AWS-inkomstenbestand om op afstand te communiceren via AWS CLI.
Hoewel de dreigingsacteurs toegangsblokken in toegangscontrole tegenkwamen waardoor ze geen gevoelige acties uitvoerden, zei Google dat het bewijs vond dat waarschijnlijk de diefstal van de sessiekoekjes van de gebruiker aangaf. Deze cookies werden vervolgens gebruikt om relevante CloudFront -configuraties en S3 -emmers te identificeren.
UNC4899 “Levered de inherente administratieve machtigingen die zijn toegepast op hun toegang tot het uploaden en vervangen van bestaande JavaScript -bestanden door die met kwaadaardige code, die zijn ontworpen om cryptocurrency -functies te manipuleren en een transactie te activeren met de cryptocurrency -portemonnee van een doelorganisatie,” zei Google.
De aanvallen eindigden in beide gevallen met de dreigingsacteurs die met succes enkele miljoenen aan cryptocurrency terugtrokken, voegde het bedrijf eraan toe.
De ontwikkeling komt als Sonatype zei dat het 234 unieke malware NPM- en PYPI-pakketten die tussen januari en juli 2025 zijn toegeschreven aan de Lazarus Group in Noord-Korea, gemarkeerd en geblokkeerd, gemarkeerd en geblokkeerd. Sommige van deze bibliotheken zijn geconfigureerd om een bekende credentiële stealer te laten vallen die wordt verwezen als Beavertail, dat wordt geassocieerd met een langdurig campagne met een campagne met een contagieus interview.
“Deze pakketten nabootsen van populaire ontwikkelaarstools, maar functioneren als spionage -implantaten, ontworpen om geheimen, profielhosts te stelen en persistente backdoors te openen in kritieke infrastructuur,” zei het software -beveiligingsbeveiligingsbedrijf. “De toename van activiteit in H1 2025 toont een strategische pivot: Lazarus versluit nu malware rechtstreeks in open source pakketregisters, namelijk NPM en PYPI, in een alarmerend tempo.”
