Kuzey Kore bağlantılı tehdit oyuncusu olarak bilinen UNC4899 LinkedIn ve Telegram aracılığıyla çalışanlarına yaklaşarak iki farklı kuruluşu hedefleyen saldırılara bağlanmıştır.
Google’ın Bulut Bölümü, hedeflenen çalışanları kendi iş istasyonlarında kötü amaçlı docker kapsayıcıları yürütmeye başarılı bir şekilde ikna etmek için UNC4899’dan kaldırılan sosyal mühendislik tekniklerinden yararlanan, “Yazılım geliştirme çalışmaları için serbest fırsatlar kisvesi altında,” dedi. [PDF] H2 2025 için bulut tehdidi ufukları raporunda.
UNC4899, Monikers Jade Sleet, Pukchong, Slow Balık ve Tradertraitor altında izlenen aktivite ile örtüşüyor. En az 2020’den beri aktif olan devlet destekli aktör, kripto para birimi ve blockchain endüstrilerini hedeflemesi ile bilinir.
Özellikle, hack grubu, Mart 2022’de Axie Infinity (625 milyon $), Mayıs 2024’te DMM Bitcoin (308 milyon $) ve Şubat 2025’te (1.4 milyar $) Bybit de dahil olmak üzere önemli kripto para birimi soygunlarında yer alıyor.
Sofistikliliğini vurgulayan bir başka örnek, JumpCloud’un altyapısının, kripto para birimi dikeyindeki akış aşağı müşterileri hedeflemek için şüpheli sömürülmesidir.
DTEX’e göre, TraderTraitor, Kuzey Kore Keşif Genel Bürosu’nun üçüncü bürosuna (veya departmanına) bağlıdır ve kripto para birimi hırsızlığı söz konusu olduğunda Pyongyang hack gruplarından en üretkendir.
Tehdit oyuncusu tarafından monte edilen saldırılar, iş temalı yemlerden yararlanmayı veya kötü amaçlı NPM paketlerini yüklemeyi ve daha sonra hedef şirketlerde çalışanlara kazançlı bir fırsatla yaklaşmayı veya daha sonra Rogue NPM kütüphanelerinin yürütülmesine yol açacak bir GitHub projesinde işbirliği yapmalarını istedi.
Bulut güvenlik firması Wiz, bu hafta TraderTraitor’un ayrıntılı bir raporunda, “TraderTraitor, genellikle platformların kendisinden ziyade bulut platformlarının müşterileri olan şirketlerden ödün vermenin nihai hedefine sahip bulut merkezli ve buluta bitişik saldırı yüzeylerine sürekli bir ilgi gösterdi.” Dedi.
Google Cloud tarafından gözlemlenen saldırılar, ilgili kuruluşların Google Cloud ve Amazon Web Services (AWS) ortamlarını hedefledi, daha sonra Plottwist ve Mazewire gibi saldırgan kontrollü bir sunucu ile bağlantı kurabilen arka planlara hizmet etmek için kullanılan Glasscannon adlı bir indiricinin yolunu açtı.
Google Cloud ortamını içeren olayda, tehdit aktörlerinin, geniş keşif ve kimlik bilgisi hırsızlık faaliyetleri gerçekleştirerek, anonim bir VPN hizmeti üzerinden Google Cloud CLI’yi kullanarak uzaktan etkileşim kurmak için çalınan kimlik bilgileri kullandığı bulunmuştur. Bununla birlikte, kimlik bilgilerine uygulanan çok faktörlü kimlik doğrulama (MFA) konfigürasyonu nedeniyle çabalarında engellendiler.
Google, “UNC4899 sonunda kurbanın hesabının Google Cloud projesi için idari ayrıcalıkları olduğunu belirledi ve MFA gereksinimlerini devre dışı bıraktı.” Dedi. Diyerek şöyle devam etti: “Hedeflenen kaynaklara başarıyla erişim sağladıktan sonra, MFA’yı tespit etmek için hemen yeniden etkinleştirdiler.”
İkinci kurbanın AWS ortamını hedefleyen saldırının benzer bir oyun kitabını takip ettiği söyleniyor, ancak bu sefer saldırganlar AWS kimlik bilgisi dosyasından AWS CLI aracılığıyla uzaktan etkileşim kurmak için uzun vadeli erişim anahtarlarını kullandı.
Tehdit aktörleri, herhangi bir hassas eylem gerçekleştirmelerini engelleyen erişim kontrolü engelleri ile karşılaşsa da Google, kullanıcının oturum çerezlerinin hırsızlığını gösteren kanıt bulduğunu söyledi. Bu çerezler daha sonra ilgili CloudFront konfigürasyonlarını ve S3 kovalarını tanımlamak için kullanıldı.
UNC4899 “Mevcut JavaScript dosyalarını yükleme ve değiştirme erişimine uygulanan doğal yönetim izinlerini, kripto para birimi işlevlerini manipüle etmek ve bir hedef kuruluşun kripto para cüzdanı ile bir işlemi tetiklemek için tasarlanmış kötü amaçlı kod içerenlerle kullanılmıştır.” Dedi.
Şirket, her iki durumda da saldırıların tehdit aktörlerinin birkaç milyon değerinde kripto para birimini başarıyla çekmesiyle sona erdiğini de sözlerine ekledi.
Geliştirme, Sonatype’in Ocak ve Temmuz 2025 arasında Kuzey Kore’nin Lazarus Grubuna atfedilen 234 benzersiz kötü amaçlı yazılım NPM ve PYPI paketlerini işaretlediğini ve engellediğini söylediği gibi geliyor. Bu kütüphanelerin bazıları, uzun süredir devam eden kampanya olarak adlandırılan beaverail olarak adlandırılan bilinen bir kimlik bilgisi stealer’ı bırakacak şekilde yapılandırılmıştır.
Yazılım tedarik zinciri güvenlik firması, “Bu paketler popüler geliştirici araçlarını taklit ediyor, ancak sırları, profil ana bilgisayarları ve kalıcı arka planları kritik altyapıya açıklamak için tasarlanmış casusluk implantları olarak işlev görüyor.” Dedi. “H1 2025’teki etkinlik artışı stratejik bir pivot gösteriyor: Lazarus artık kötü amaçlı yazılımları doğrudan açık kaynak paket kayıtlarına, yani NPM ve PYPI’ye endişe verici bir oranda yerleştiriyor.”