Северокорейская государственная хакерская группировка UNC4899, действующая как минимум с 2020 года, разработала многоступенчатую методологию атак на криптовалютные и блокчейн-компании. Эта группа, также известная под псевдонимами TraderTraitor, Jade Sleet, PUKCHONG и Slow Pisces, связана с Третьим бюро Главного разведывательного управления КНДР. По данным компании DTEX, она является самой активной из хакерских групп Пхеньяна, специализирующихся на хищении криптовалют.
Атака начинается с социальной инженерии на платформах LinkedIn и Telegram. Хакеры связываются с сотрудниками целевых компаний, чаще всего с разработчиками программного обеспечения, и предлагают им привлекательные возможности для фриланс-проектов. Цель этого этапа — завоевать доверие и убедить жертву выполнить дальнейшие инструкции на своем рабочем компьютере.
После установления контакта злоумышленники просят сотрудников выполнить вредоносные Docker-контейнеры. Альтернативный метод заключается в предложении совместной работы над проектом на GitHub, что вынуждает жертву загрузить и использовать вредоносные npm-пакеты, содержащие скрытый код. Таким образом, хакеры получают первоначальный доступ к рабочей станции сотрудника.
Получив учетные данные, группа UNC4899 проникает в облачную инфраструктуру компаний, которые являются клиентами Google Cloud и Amazon Web Services (AWS). Для доступа злоумышленники используют интерфейс командной строки Google Cloud через анонимные VPN-сервисы. Их целью являются не сами облачные платформы, а данные и активы их клиентов.
Особую опасность представляет способность группы обходить многофакторную аутентификацию (MFA). В ходе атак хакеры находили скомпрометированные учетные записи с правами администратора, временно отключали для них требования MFA, выполняли необходимые действия в системе, а затем немедленно снова активировали MFA, чтобы скрыть следы своего вторжения и избежать обнаружения.
Внутри скомпрометированной облачной среды хакеры развертывают специализированное вредоносное ПО. Загрузчик GLASSCANNON используется для доставки других программ, таких как бэкдоры PLOTTWIST и MAZEWIRE. Эти инструменты устанавливают постоянное соединение с сервером, контролируемым злоумышленниками, позволяя им проводить разведку и похищать данные.
Ключевой тактикой является кража сессионных cookie-файлов пользователей для выявления конфигураций CloudFront и хранилищ S3. Используя полученные административные права, хакеры заменяют легитимные файлы JavaScript на вредоносный код. Этот код предназначен для манипулирования функциями криптовалютных транзакций и инициирования перевода средств на кошельки атакующих.
В двух случаях, зафиксированных Google, эти атаки привели к выводу криптовалюты на несколько миллионов долларов. Группировке TraderTraitor также приписывают несколько крупнейших ограблений в истории криптовалют: хищение 625 миллионов долларов у Axie Infinity в марте 2022 года, 308 миллионов долларов у DMM Bitcoin в мае 2024 года и 1,4 миллиарда долларов у Bybit в феврале 2025 года. Подозревается, что группа также эксплуатировала инфраструктуру компании JumpCloud для атак на ее клиентов из криптоиндустрии.
Связанная с ними северокорейская группировка Lazarus Group демонстрирует стратегический сдвиг в сторону атак на цепочки поставок программного обеспечения с открытым исходным кодом. В рамках долгосрочной кампании под названием «Contagious Interview» («Заразное собеседование») хакеры активно внедряют вредоносный код непосредственно в публичные репозитории.
В период с января по июль 2025 года компания Sonatype зафиксировала и заблокировала 234 уникальных вредоносных пакета, загруженных группой Lazarus в репозитории npm (для JavaScript) и PyPI (для Python). Эти пакеты, замаскированные под популярные инструменты для разработчиков, содержали известный похититель учетных данных BeaverTail.
Данная тактика позволяет Lazarus Group создавать постоянные бэкдоры в критически важной инфраструктуре компаний. Отчеты Google Cloud, Wiz, DTEX и Sonatype подтверждают, что северокорейские хакеры не только совершенствуют свои методы, но и расширяют вектор атак, представляя растущую угрозу для всей цифровой экономики.
Изображение носит иллюстративный характер
Атака начинается с социальной инженерии на платформах LinkedIn и Telegram. Хакеры связываются с сотрудниками целевых компаний, чаще всего с разработчиками программного обеспечения, и предлагают им привлекательные возможности для фриланс-проектов. Цель этого этапа — завоевать доверие и убедить жертву выполнить дальнейшие инструкции на своем рабочем компьютере.
После установления контакта злоумышленники просят сотрудников выполнить вредоносные Docker-контейнеры. Альтернативный метод заключается в предложении совместной работы над проектом на GitHub, что вынуждает жертву загрузить и использовать вредоносные npm-пакеты, содержащие скрытый код. Таким образом, хакеры получают первоначальный доступ к рабочей станции сотрудника.
Получив учетные данные, группа UNC4899 проникает в облачную инфраструктуру компаний, которые являются клиентами Google Cloud и Amazon Web Services (AWS). Для доступа злоумышленники используют интерфейс командной строки Google Cloud через анонимные VPN-сервисы. Их целью являются не сами облачные платформы, а данные и активы их клиентов.
Особую опасность представляет способность группы обходить многофакторную аутентификацию (MFA). В ходе атак хакеры находили скомпрометированные учетные записи с правами администратора, временно отключали для них требования MFA, выполняли необходимые действия в системе, а затем немедленно снова активировали MFA, чтобы скрыть следы своего вторжения и избежать обнаружения.
Внутри скомпрометированной облачной среды хакеры развертывают специализированное вредоносное ПО. Загрузчик GLASSCANNON используется для доставки других программ, таких как бэкдоры PLOTTWIST и MAZEWIRE. Эти инструменты устанавливают постоянное соединение с сервером, контролируемым злоумышленниками, позволяя им проводить разведку и похищать данные.
Ключевой тактикой является кража сессионных cookie-файлов пользователей для выявления конфигураций CloudFront и хранилищ S3. Используя полученные административные права, хакеры заменяют легитимные файлы JavaScript на вредоносный код. Этот код предназначен для манипулирования функциями криптовалютных транзакций и инициирования перевода средств на кошельки атакующих.
В двух случаях, зафиксированных Google, эти атаки привели к выводу криптовалюты на несколько миллионов долларов. Группировке TraderTraitor также приписывают несколько крупнейших ограблений в истории криптовалют: хищение 625 миллионов долларов у Axie Infinity в марте 2022 года, 308 миллионов долларов у DMM Bitcoin в мае 2024 года и 1,4 миллиарда долларов у Bybit в феврале 2025 года. Подозревается, что группа также эксплуатировала инфраструктуру компании JumpCloud для атак на ее клиентов из криптоиндустрии.
Связанная с ними северокорейская группировка Lazarus Group демонстрирует стратегический сдвиг в сторону атак на цепочки поставок программного обеспечения с открытым исходным кодом. В рамках долгосрочной кампании под названием «Contagious Interview» («Заразное собеседование») хакеры активно внедряют вредоносный код непосредственно в публичные репозитории.
В период с января по июль 2025 года компания Sonatype зафиксировала и заблокировала 234 уникальных вредоносных пакета, загруженных группой Lazarus в репозитории npm (для JavaScript) и PyPI (для Python). Эти пакеты, замаскированные под популярные инструменты для разработчиков, содержали известный похититель учетных данных BeaverTail.
Данная тактика позволяет Lazarus Group создавать постоянные бэкдоры в критически важной инфраструктуре компаний. Отчеты Google Cloud, Wiz, DTEX и Sonatype подтверждают, что северокорейские хакеры не только совершенствуют свои методы, но и расширяют вектор атак, представляя растущую угрозу для всей цифровой экономики.
