Ein nordkoreanischer Bedrohungsakteur, UNC4899, startete im Jahr 2025 einen raffinierten Angriff auf ein Kryptowährungsunternehmen und stahl digitale Vermögenswerte in Millionenhöhe. Die Hacker haben einen Entwickler dazu verleitet, im Rahmen einer Open-Source-Zusammenarbeit ein scheinbar legitimes Archiv herunterzuladen.
Der Entwickler hat es per AirDrop auf ein Unternehmensgerät übertragen. Infolgedessen führte der eingebettete bösartige Python-Code eine Binärdatei aus, die sich als Kubernetes-Befehlszeilentool ausgab. Diese Hintertür ermöglichte es Angreifern, in die Cloud auszuweichen, Anmeldeinformationen abzugreifen und kritische Infrastrukturen zu manipulieren.
Google Cloud beschrieb den Angriff als eine Mischung aus „Social Engineering, Ausnutzung von Peer-to-Peer-Datenübertragungsmechanismen zwischen Privat- und Unternehmensgeräten, Arbeitsabläufen und schließlich einem Wechsel in die Cloud, um Living-off-the-Cloud-Techniken (LOTC) einzusetzen.“
https://coinedition.com/north-korean-hackers-exploit-dev-device-steal-millions-in-crypto/
1 Kommentar
tldr; North Korean hacking group UNC4899 exploited a developer’s device via AirDrop, infiltrated a cryptocurrency firm’s cloud systems, and stole millions in digital assets. The attack involved social engineering, Kubernetes exploitation, and manipulation of multi-factor authentication settings. Hackers accessed sensitive databases, altered user accounts, and withdrew funds. Google recommends stricter cloud separation, phishing-resistant MFA, and improved secrets management to mitigate such risks.
*This summary is auto generated by a bot and not meant to replace reading the original article. As always, DYOR.