کمیته رکن چهارم – گروه سایبری UNC4899 وابسته به کره شمالی، با استفاده از ترفندهای فریب شغلی و ابزارهای مخرب، موفق به سرقت چند میلیون دلار ارز دیجیتال از دو شرکت بینالمللی شدهاند. این گروه با نامهایی مانند Jade Sleet و TraderTraitor نیز شناخته میشود.
به گزارش کمیته رکن چهارم، حمله زمانی آغاز شد که مهاجمان با استفاده از لینکدین و تلگرام به کارکنان دو شرکت نزدیک شدند و خود را بهعنوان توسعهدهندگان مستقل معرفی کردند. آنها قربانیان را متقاعد کردند تا کانتینرهای آلوده Docker را اجرا کنند؛ اقدامی که به مهاجمان امکان دسترسی به حسابهای Google Cloud و AWS سازمانها را داد. پس از ورود، گروه UNC4899 از بدافزار GLASSCANNON برای نصب بکدورها مانند PLOTTWIST و MAZEWIRE استفاده کرد، احراز هویت چندمرحلهای را غیرفعال و سپس مجدداً فعال کرد تا شناسایی نشوند، و در نهایت از کلیدهای بلندمدت AWS برای کنترل منابع استفاده کردند.
هدف اصلی، دستکاری فایلهای JavaScript برای سرقت مستقیم رمزارزها از کیف پولهای دیجیتال شرکتها بود. گوگل تأیید کرده که در هر دو مورد، مهاجمان چند میلیون دلار ارز دیجیتال به سرقت بردهاند. این گروه همچنین سابقه حملات گستردهای همچون حمله ۶۲۵ میلیون دلاری به Axie Infinity و ۱٫۴ میلیارد دلاری به Bybit دارد.
از سوی دیگر، گزارشهای امنیتی جدید نشان میدهد UNC4899 با گسترش بدافزار BeaverTail در پلتفرمهایی چون npm و PyPI، زنجیره تأمین نرمافزار را نیز هدف گرفته است. این بدافزار توانایی سرقت دادههای کیف پول، افزونههای مرورگر و اطلاعات سیستم را دارد. از ژانویه تا ژوئیه ۲۰۲۵، حدود ۲۳۴ پکیج آلوده شناسایی و مسدود شدهاند.
گوگل هشدار داده است که برای مقابله با این تهدیدها، فعالسازی MFA، محدودسازی دسترسیهای مدیریتی، و پایش دقیق فعالیتهای غیرمعمول در محیطهای ابری و ابزارهای توسعه ضروری است.
