L’acteur de menace lié à la Corée du Nord connu sous le nom d’ UNC4899 a été attribué à des attaques ciblant deux organisations différentes en approchant leurs employés via LinkedIn et Telegram.

« Sous couvert d’opportunités de travail en freelance pour le développement de logiciels, UNC4899 a exploité des techniques d’ingénierie sociale pour convaincre avec succès les employés ciblés d’exécuter des conteneurs Docker malveillants sur leurs postes de travail respectifs », a déclaré la division cloud de Google [PDF] dans son rapport Cloud Threat Horizons pour le deuxième semestre 2025.

L’activité d’UNC4899 recoupe celle observée sous les pseudonymes Jade Sleet, PUKCHONG, Slow Pisces et TraderTraitor. Actif depuis au moins 2020, cet acteur soutenu par l’État est connu pour cibler les secteurs des cryptomonnaies et de la blockchain.

Le groupe de pirates informatiques a notamment été impliqué dans d’importants vols de cryptomonnaies , notamment celui d’Axie Infinity en mars 2022 (625 millions de dollars), de DMM Bitcoin en mai 2024 (308 millions de dollars) et de Bybit en février 2025 (1,4 milliard de dollars).

Un autre exemple qui met en évidence sa sophistication est l’exploitation présumée de l’infrastructure de JumpCloud pour cibler les clients en aval dans le secteur vertical des cryptomonnaies.

Selon DTEX, TraderTraitor est affilié au troisième bureau (ou département) du Bureau général de reconnaissance de la Corée du Nord et est le plus prolifique de tous les groupes de piratage de Pyongyang en matière de vol de crypto-monnaie.

Les attaques montées par l’acteur de la menace ont consisté à exploiter des leurres à thème professionnel ou à télécharger des packages npm malveillants , puis à approcher les employés des entreprises cibles avec une opportunité lucrative ou à leur demander de collaborer sur un projet GitHub qui conduirait ensuite à l’exécution des bibliothèques npm malveillantes.

« TraderTraitor a démontré un intérêt soutenu pour les surfaces d’attaque centrées sur le cloud et adjacentes au cloud, souvent avec pour objectif final de compromettre les entreprises qui sont clientes des plateformes cloud plutôt que les plateformes elles-mêmes », a déclaré la société de sécurité cloud Wiz dans un rapport détaillé de TraderTraitor cette semaine.

Les attaques observées par Google Cloud ciblaient les environnements Google Cloud et Amazon Web Services (AWS) des organisations respectives, ouvrant la voie à un téléchargeur appelé GLASSCANNON qui est ensuite utilisé pour servir des portes dérobées comme PLOTTWIST et MAZEWIRE qui peuvent établir des connexions avec un serveur contrôlé par un attaquant.

Lors de l’incident impliquant l’environnement Google Cloud, les pirates ont utilisé des identifiants volés pour interagir à distance via Google Cloud CLI via un service VPN anonyme, menant ainsi des opérations de reconnaissance et de vol d’identifiants à grande échelle. Cependant, leurs efforts ont été contrecarrés par la configuration de l’authentification multifacteur (MFA) appliquée aux identifiants de la victime.

« UNC4899 a finalement déterminé que le compte de la victime disposait de privilèges d’administrateur sur le projet Google Cloud et a désactivé l’authentification multifacteur », a déclaré Google. « Après avoir réussi à accéder aux ressources ciblées, ils ont immédiatement réactivé l’authentification multifacteur pour échapper à la détection. »

L’intrusion ciblant l’environnement AWS de la deuxième victime aurait suivi un scénario similaire, sauf que cette fois, les attaquants ont utilisé des clés d’accès à long terme obtenues à partir d’un fichier d’informations d’identification AWS pour interagir à distance via AWS CLI.

Bien que les pirates aient rencontré des obstacles au contrôle d’accès les empêchant d’effectuer des actions sensibles, Google a déclaré avoir trouvé des preuves indiquant probablement le vol des cookies de session de l’utilisateur. Ces cookies ont ensuite été utilisés pour identifier les configurations CloudFront et les buckets S3 pertinents.

UNC4899 « a exploité les autorisations administratives inhérentes appliquées à son accès pour télécharger et remplacer les fichiers JavaScript existants par ceux contenant du code malveillant, qui ont été conçus pour manipuler les fonctions de crypto-monnaie et déclencher une transaction avec le portefeuille de crypto-monnaie d’une organisation cible », a déclaré Google.

Dans les deux cas, les attaques se sont terminées par le retrait réussi de plusieurs millions de cryptomonnaies par les acteurs de la menace, a ajouté la société.

Ce développement intervient alors que Sonatype a déclaré avoir signalé et bloqué 234 packages de logiciels malveillants uniques npm et PyPI attribués au groupe Lazarus de Corée du Nord entre janvier et juillet 2025. Certaines de ces bibliothèques sont configurées pour supprimer un voleur d’informations d’identification connu appelé BeaverTail , qui est associé à une campagne de longue date baptisée Contagious Interview.

« Ces packages imitent les outils de développement les plus répandus, mais fonctionnent comme des implants d’espionnage conçus pour voler des secrets, profiler des hôtes et ouvrir des portes dérobées persistantes vers des infrastructures critiques », a déclaré l’entreprise spécialisée dans la sécurité de la chaîne d’approvisionnement logicielle . « L’augmentation de l’activité au premier semestre 2025 témoigne d’un changement stratégique : Lazarus intègre désormais des logiciels malveillants directement dans les registres de packages open source, notamment npm et PyPI, à un rythme alarmant. »