HackerNews 编译,转载请注明出处:
与朝鲜有关的威胁组织UNC4899被指通过LinkedIn和Telegram接触两家不同企业的员工实施攻击。谷歌云部门在《2025年下半年云威胁地平线报告》[PDF]中表示:“UNC4899以软件开发的自由职业机会为幌子,利用社会工程技术成功说服目标员工在其工作站执行恶意Docker容器。”
UNC4899与Jade Sleet、PUKCHONG、Slow Pisces及TraderTraitor等组织存在活动重叠。该国家级攻击组织自2020年起活跃,以针对加密货币和区块链行业著称,涉及多起重大加密货币盗窃案,包括2022年3月Axie Infinity(6.25亿美元)、2024年5月DMM Bitcoin(3.08亿美元)以及2025年2月Bybit(14亿美元)的黑客事件。
其攻击手段还包括利用JumpCloud基础设施攻击加密货币领域下游客户。据DTEX称,TraderTraitor隶属于朝鲜侦察总局第三局,在加密货币盗窃方面是平壤黑客组织中最高效的团体。该组织常以工作邀约为诱饵或上传恶意npm软件包,通过高薪合作机会或GitHub项目协作邀请目标企业员工,诱导其执行恶意npm库。
云安全公司Wiz本周报告强调:“TraderTraitor持续关注云平台及周边攻击面,最终目标通常是云平台客户而非平台本身。”谷歌观察到的攻击针对企业的谷歌云和AWS环境:攻击者首先部署GLASSCANNON下载器,进而植入PLOTTWIST和MAZEWIRE后门以连接攻击者控制服务器。
在谷歌云攻击案例中,攻击者使用窃取的凭证通过谷歌云CLI匿名VPN远程操作,进行大规模侦察和凭证窃取,但因受害者启用多因素认证(MFA)受阻。谷歌指出:“UNC4899发现受害者账户拥有谷歌云项目管理权限后,直接禁用MFA要求。成功访问目标资源后,他们立即重新启用MFA以规避检测。”
针对AWS受害者的入侵采用类似手法,攻击者通过AWS凭证文件获取长期访问密钥远程操作AWS CLI。尽管遭遇访问控制限制,谷歌发现攻击者可能窃取了用户会话cookie,借此识别相关CloudFront配置和S3存储桶。“利用其访问权限固有的管理权限,攻击者将含恶意代码的JavaScript文件上传替换原有文件,旨在操纵加密货币功能并触发与目标组织加密货币钱包的交易。”最终两起攻击均成功窃取价值数百万美元的加密货币。
同期,Sonatype公司表示2025年1月至7月已拦截234个朝鲜Lazarus组织发布的恶意npm和PyPI软件包。部分软件包会投放已知凭证窃取程序BeaverTail(与长期活动Contagious Interview相关)。该软件供应链安全公司指出:“这些软件包伪装成流行开发工具,实则为间谍植入程序,用于窃取机密、分析主机并在关键基础设施建立持久后门。2025年上半年活动激增表明Lazarus战略转向:正以惊人速度将恶意软件直接嵌入npm和PyPI等开源软件包注册平台。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
