Un gruppo di hacker legato alla Corea del Nord, identificato come UNC4899, è stato recentemente collegato a sofisticati attacchi rivolti a due aziende nel settore delle criptovalute e del cloud. Gli attacchi sono avvenuti tramite tecniche di social engineering, in particolare attraverso LinkedIn e Telegram, dove gli hacker si sono presentati come potenziali datori di lavoro proponendo opportunità di lavoro freelance nel campo dello sviluppo software. Grazie a questo inganno, sono riusciti a convincere le vittime a eseguire container Docker malevoli sui loro dispositivi di lavoro, aprendo così la strada all’infiltrazione nei sistemi aziendali.

Questo gruppo, noto anche con altri nomi come Jade Sleet, PUKCHONG, Slow Pisces e TraderTraitor, è attivo almeno dal 2020 ed è specializzato nell’attaccare aziende che operano nei settori della blockchain e delle criptovalute. Tra i colpi più noti attribuiti a UNC4899 figurano furti multimilionari come quello ai danni di Axie Infinity, DMM Bitcoin e Bybit, con perdite totali che superano il miliardo di dollari.

Tecniche di attacco

Una delle tecniche preferite da questi hacker consiste nell’utilizzare offerte di lavoro come esca o nel caricare pacchetti npm malevoli, convincendo le vittime a collaborare su progetti GitHub apparentemente innocui. In realtà, l’esecuzione di questi pacchetti consente agli attaccanti di ottenere accesso non autorizzato agli ambienti cloud delle aziende, come Google Cloud e Amazon Web Services (AWS).

Compromissione di Google Cloud

Nel caso di Google Cloud, gli hacker sono riusciti a utilizzare credenziali rubate per accedere tramite la CLI di Google Cloud, anche sfruttando VPN anonime per non essere tracciati. Nonostante i tentativi di limitare i danni grazie all’autenticazione a più fattori, i criminali informatici sono riusciti a superare alcuni ostacoli, disabilitando temporaneamente la MFA per ottenere privilegi amministrativi e quindi riabilitandola per non destare sospetti.

Compromissione di AWS

Per quanto riguarda AWS, gli attaccanti hanno utilizzato chiavi di accesso a lungo termine ottenute da file di credenziali compromessi, riuscendo così a esplorare configurazioni sensibili come CloudFront e S3. In entrambi i casi, la fase finale dell’attacco ha visto la sostituzione di file JavaScript con codice malevolo progettato per manipolare le transazioni in criptovaluta e deviare fondi verso i wallet controllati dal gruppo.

Diffusione di malware tramite pacchetti open source

Contestualmente, è stata rilevata una crescita nell’uso di malware inseriti direttamente in pacchetti open source sui registry npm e PyPI, che spesso fungono da backdoor per il furto di credenziali e l’apertura di accessi persistenti alle infrastrutture bersaglio.