Un gruppo di hacker legato alla Corea del Nord, identificato come UNC4899, è stato recentemente collegato a sofisticati attacchi rivolti a due aziende nel settore delle criptovalute e del cloud. Gli attacchi sono avvenuti tramite tecniche di social engineering, in particolare attraverso LinkedIn e Telegram, dove gli hacker si sono presentati come potenziali datori di lavoro proponendo opportunità di lavoro freelance nel campo dello sviluppo software.
Questo gruppo, noto anche con altri nomi come Jade Sleet, PUKCHONG, Slow Pisces e TraderTraitor, è attivo almeno dal 2020 ed è specializzato nell’attaccare aziende che operano nei settori della blockchain e delle criptovalute. Tra i colpi più noti attribuiti a UNC4899 figurano furti multimilionari come quello ai danni di Axie Infinity, DMM Bitcoin e Bybit, con perdite totali che superano il miliardo di dollari.
Tecniche di attacco
Una delle tecniche preferite da questi hacker consiste nell’utilizzare offerte di lavoro come esca o nel caricare pacchetti npm malevoli, convincendo le vittime a collaborare su progetti GitHub apparentemente innocui. In realtà, l’esecuzione di questi pacchetti consente agli attaccanti di ottenere accesso non autorizzato agli ambienti cloud delle aziende, come Google Cloud e Amazon Web Services (AWS).
Compromissione di Google Cloud
Nel caso di Google Cloud, gli hacker sono riusciti a utilizzare credenziali rubate per accedere tramite la CLI di Google Cloud, anche sfruttando VPN anonime per non essere tracciati. Nonostante i tentativi di limitare i danni grazie all’autenticazione a più fattori, i criminali informatici sono riusciti a superare alcuni ostacoli, disabilitando temporaneamente la MFA per ottenere privilegi amministrativi e quindi riabilitandola per non destare sospetti.
Compromissione di AWS
Per quanto riguarda AWS, gli attaccanti hanno utilizzato chiavi di accesso a lungo termine ottenute da file di credenziali compromessi, riuscendo così a esplorare configurazioni sensibili come CloudFront e S3. In entrambi i casi, la fase finale dell’attacco ha visto la sostituzione di file JavaScript con codice malevolo progettato per manipolare le transazioni in criptovaluta e deviare fondi verso i wallet controllati dal gruppo.
Diffusione di malware tramite pacchetti open source
Contestualmente, è stata rilevata una crescita nell’uso di malware inseriti direttamente in pacchetti open source sui registry npm e PyPI, che spesso fungono da backdoor per il furto di credenziali e l’apertura di accessi persistenti alle infrastrutture bersaglio.