El actor de amenaza vinculado a Corea del Septentrión conocido como UNC4899 se ha atribuido a ataques dirigidos a dos organizaciones diferentes al acercarse a sus empleados a través de LinkedIn y Telegram.
“Bajo la apariencia de oportunidades independientes para el trabajo de expansión de software, UNC4899 aprovechó las técnicas de ingeniería social para convencer con éxito a los empleados específicos de que ejecute contenedores de Docker maliciosos en sus respectivas estaciones de trabajo”, dijo la división de la montón de Google (PDF) en su documentación de Horizons de amenazas en la montón para H2 2025.
UNC4899 se superpone con la actividad rastreada debajo de los apodos Jade Sleet, Pukchong, Slow Piscis y el comerciante. Activo desde al menos 2020, el actor patrocinado por el estado es conocido por su objetivo de las industrias de criptomonedas y blockchain.
En particular, el categoría de piratería se ha implicado en los atractores de criptomonedas significativas, incluido el de Axie Infinity en marzo de 2022 ($ 625 millones), DMM Bitcoin en mayo de 2024 ($ 308 millones) y Bybit en febrero de 2025 ($ 1.4 mil millones).
Otro ejemplo que destaca su sofisticación es la sospecha de explotación de la infraestructura de JumpCloud para dirigirse a clientes aguas debajo en el interior de la derecho de la criptomoneda.
Según DTEX, el comerciante está afiliado a la tercera oficina (o área) de la Oficina Genérico de Inspección de Corea del Septentrión y es el más prolífico de cualquiera de los grupos de piratería de Pyongyang cuando se negociación de robo de criptomonedas.
Los ataques montados por el actor de amenaza han implicado exprimir los señuelos con temática de empleo o cargar paquetes de NPM maliciosos, y luego acercarse a los empleados de las compañías objetivo con una oportunidad lucrativa o pedirles que colaboren en un esquema GitHub que luego conduciría a la ejecución de las bibliotecas rebeldes de NPM.
“El comerciante ha demostrado un interés sostenido en las superficies de ataque centradas en la montón y adyacentes en la montón, a menudo con un objetivo final de comprometer a las empresas que son clientes de plataformas en la montón en lado de las plataformas mismas”, dijo la firma de seguridad en la montón Wiz en un documentación detallado del comerciante de comerciante esta semana.
Los ataques observados por Google Cloud se dirigieron a los entornos de Servicios web de Google Cloud y Amazon de las organizaciones respectivas (AWS), allanando el camino para un descargador llamado GlassCannon que luego se usa para servir en puros como Plottwist y Mazewire que puede establecer conexiones con un servidor controlado por el atacante.
En el incidente que involucra el entorno de Google Cloud, se ha antitético que los actores de amenaza emplean credenciales robadas para interactuar de forma remota utilizando Google Cloud CLI sobre un servicio VPN secreto, llevando a término extensas actividades de robo de credenciales y registro. Sin bloqueo, fueron frustrados en sus esfuerzos oportuno a la configuración de autenticación multifactor (MFA) aplicada a las credenciales de la víctima.
“UNC4899 finalmente determinó que la cuenta de la víctima tenía privilegios administrativos para el esquema de Google Cloud y deshabilitó los requisitos de MFA”, dijo Google. “Luego de obtener comunicación con éxito a los bienes específicos, inmediatamente volvieron a habilitar el MFA para escamotear la detección”.
Se dice que la intrusión dirigida al entorno AWS de la segunda víctima siguió a un texto de jugadas similar, solo que esta vez los atacantes usaron claves de comunicación a amplio plazo obtenidas de un archivo de credencial de AWS para interactuar de forma remota a través de AWS CLI.
Aunque los actores de amenaza se encontraron con obstáculos de control de comunicación que les impidieron realizar cualquier argumento delicada, Google dijo que encontró evidencia que probablemente indicó el robo de las cookies de sesión del becario. Estas cookies se usaron luego para identificar configuraciones relevantes en la montón y cubos S3.
UNC4899 “Aprovechó los permisos administrativos inherentes aplicados a su comunicación para cargar y reemplazar los archivos JavaScript existentes con los que contienen código sagaz, que fueron diseñados para manipular las funciones de criptomonedas y activar una transacción con la billetera de criptomonedas de una ordenamiento objetivo”, dijo Google.
Los ataques, en uno y otro casos, terminaron con los actores de amenaza retirando con éxito varios millones de criptomonedas, agregó la compañía.
El expansión se produce cuando Sonatype dijo que marcó y bloqueó 234 paquetes únicos de Malware NPM y PYPI atribuidos al Camarilla Lázaro de Corea del Septentrión entre enero y julio de 2025. Algunas de estas bibliotecas están configuradas para eliminar una credencial conocida conocida como Beaverail, que se asocia con una campaña de larga duración duda con una entrevista contagiosa.
“Estos paquetes imitan las herramientas populares del desarrollador, pero funcionan como implantes de espionaje, diseñados para robar secretos, hosts de perfil y aclarar puertas traseras persistentes en infraestructura crítica”, dijo la firma de seguridad de la dependencia de suministro de software. “El aumento de la actividad en H1 2025 demuestra un pivote decisivo: Lázaro ahora está integrando malware directamente en registros de paquetes de código amplio, a retener, NPM y PYPI, a un ritmo preocupante”.
