Sammendrag
Hvordan klarte nordkoreanske hackere å infiltrere sky-miljøer for å stjele kryptovaluta? Ifølge Google Clouds rapport «H2 2025 Cloud Threat Horizons» overvåker selskapets Threat Intelligence-team UNC4899, en hackinggruppe knyttet til Nord-Korea, som er anklaget for å ha brutt seg inn i to organisasjoner etter å ha innledet kontakt med ansatte via sosiale medier.
«Aktiv siden minst 2020, retter UNC4899 seg primært mot kryptovaluta- og blockchain-industriene og har vist en sofistikert evne til å utføre komplekse kompromisser i forsyningskjeden,» uttalte rapporten.
Rapporten bemerket at mellom Q3 2024 og Q1 2025 svarte cybersikkerhetsfirmaet Mandiant på to separate hendelser knyttet til UNC4899, som påvirket en organisasjons Google Cloud-miljø og en annen sin AWS-miljø. Mens de innledende og avsluttende fasene av inntrengingene delte felles taktikker, var metodene som ble brukt i mellomfasene varierte, noe som sannsynligvis reflekterer forskjeller i ofrenes systemarkitekturer.
Angrepsmetoder
Rapporten beskriver videre at i den innledende fasen av disse angrepene etablerte hackerne kontakt med ofrene via sosiale medier, en gjennom Telegram og den andre gjennom LinkedIn, og utga seg for å være frilans programvareutviklingsrekrutterere. Målrettede ansatte ble deretter uvitende dirigert til å kjøre ondsinnede Docker-containere på arbeidsstasjonene sine. Denne handlingen utløste distribusjonen av skadelig programvare, inkludert nedlastere som GLASSCANNON og sekundære payloads som PLOTTWIST og MAZEWIRE bakdører, som til slutt gjorde det mulig for angriperne å koble seg til sine kommandosentraler (C2).
«I begge tilfeller utførte UNC4899 flere interne rekognoseringsaktiviteter på ofrenes verter og tilknyttede miljøer før de skaffet seg legitimasjonsmateriale som de brukte for å navigere til ofrenes sky-miljøer,» bemerket rapporten.
Falske jobbtilbud og sanksjoner
Nordkoreanske hackere har i økende grad stolt på falske jobbtilbud for å infiltrere selskaper. I juli sanksjonerte det amerikanske finansdepartementet Song Kum Hyok for angivelig å ha drevet et system som plasserte forkledde nordkoreanske IT-arbeidere i amerikanske selskaper for å generere inntekter for Den demokratiske folkerepublikken Korea (DPRK). Disse arbeiderne, som ofte er basert i Kina eller Russland, brukte falske identiteter og nasjonaliteter, uten at arbeidsgiverne var klar over bedraget.
Betydningen av desentralisering
Etter hvert som globale trusler presser kryptovaluta-plattformer til å stramme inn sikkerheten, er dette en kraftig påminnelse om hvorfor desentraliserte, fellesskapsdrevne økosystemer som Shibarium er viktige. I motsetning til tradisjonelle oppsett som er sårbare for sentraliserte angrep, gir Shibariums åpne infrastruktur utviklere muligheten til å bygge med åpenhet, motstandskraft og tillit i kjernen.
I stedet for å stole på et enkelt feilpunkt, distribuerer Shibarium kontrollen over et nettverk av validatorer, utviklere og samfunnsdeltakere. Denne desentraliseringen gjør det ikke bare vanskeligere for dårlige aktører, som statlig støttede hackinggrupper, å få fotfeste, men tillater også raskere oppdagelse og respons når sårbarheter oppstår.
Konklusjon
Etter hvert som kryptovaluta-rommet står overfor økende cybersikkerhetsrisiko, fremhever økosystemer som Shibarium en annen vei fremover, en som er forankret i desentralisering, åpenhet og et delt engasjement for å bygge verktøy som tjener, ikke utnytter, folket.
Nordkoreanske trusselaktører bruker NimDoor-malware for å målrette Apple-enheter. Nord-Koreas Lazarus-gruppe er knyttet til et nytt $3,2 millioner kryptovaluta-tyveri. Nordkoreanske hackere stjeler milliarder i kryptovaluta mens de utgir seg for å være VC-er.
