UNC4899 在开发者 AirDropped 特洛伊化文件至工作设备后入侵加密公司

Source: The Hacker News

Ravie Lakshmanan • Mar 09, 2026 • DevOps / 威胁情报

已知的北朝鲜威胁组织 UNC4899 被怀疑在 2025 年发起了一场针对加密货币组织的高度复杂的云渗透行动，窃取了数百万美元的加密资产。

此活动已以 中等置信度 归因于该国家支持的对手，该组织还以代号 Jade Sleet、PUKCHONG、Slow Pisces 和 TraderTraitor 进行追踪——详见原始报告在 The Hacker News。

“此事件因其融合了社会工程、个人‑到‑企业设备点对点数据（P2P）传输机制、工作流以及最终转向云端使用活用云（LOTC）技术而显得尤为突出，”该科技巨头在其 H1 2026 Cloud Threat Horizons Report 中指出——PDF（与 The Hacker News 共享）。

Attack Overview

在获取云环境访问权限后，攻击者滥用合法的 DevOps 工作流来：

• 收集凭证。
• 逃离容器沙箱。
• 篡改 Cloud SQL 数据库以实施加密货币盗窃。

Google Cloud 描述的攻击链如下：

1. 初始社会工程 – 威胁行为者诱骗一名开发者下载一个声称是开源协作项目的归档文件。
2. 设备间传输 – 开发者通过 AirDrop 将该归档文件移动到公司工作站。
3. IDE 执行 – 在使用 AI 辅助的集成开发环境（IDE）时，受害者打开归档，执行了恶意的 Python 代码，该代码生成了一个伪装成 kubectl 命令行工具的二进制文件。
4. 后门建立 – 该二进制文件联系攻击者控制的域名，为公司机器提供立足点，并利用可能已认证的会话和收集的凭证向 Google Cloud 环境进行横向渗透。
5. 侦察 – 攻击者收集云租户内的服务和项目信息。

进一步的云端活动

• 堡垒机发现 – 对手定位到一台堡垒机并修改其多因素认证（MFA）策略以获取访问权限，随后进行更深入的侦察，包括在 Kubernetes 中的 pod 导航。
• 云端即服务持久化（LotC） – 修改部署配置，使其在新 pod 创建时自动执行 Bash 命令；该命令会下载额外的后门。

关键步骤（要点概述）

• 与受害者 CI/CD 平台关联的 Kubernetes 资源被修改，以注入记录服务账号令牌的命令。
• 收集到一个高权限 CI/CD 服务账号令牌，进而实现特权提升并向负责网络策略和负载均衡的 pod 横向移动。
• 被盗的令牌用于认证到特权基础设施 pod，允许容器逃逸并部署持久化后门。
• 进一步的侦察针对管理客户数据的工作负载（用户身份、账户安全、加密货币钱包信息）。
• 从 pod 的环境变量中提取了静态存放的不安全数据库凭证。
• 通过 Cloud SQL Auth Proxy 使用这些凭证访问生产数据库，并执行 SQL 语句重置密码、更新高价值账户的 MFA 种子。
• 被攻破的账户被用于提取数百万美元的数字资产。

以上分析基于 Google Cloud 公开的信息以及 The Hacker News 的报道。

该事件 “凸显了个人‑到‑企业 P2P 数据传输方式及其他数据桥梁、特权容器模式以及云环境中未受保护的机密处理所带来的关键风险，” Google 表示。 “组织应采用深度防御策略，严格验证身份、限制端点上的数据传输，并在云运行时环境中强制执行严格的隔离，以限制冲击范围。”

Source: …

建议

• 实施上下文感知的访问控制和防钓鱼的多因素认证（MFA）。
• 确保仅部署受信任的镜像。
• 将受损节点与外部主机的连接隔离。
• 监控异常的容器进程。
• 采用强大的机密管理。
• 强制执行策略，禁用或限制使用 AirDrop 或蓝牙的点对点文件共享，以及在公司设备上挂载未受管理的外部媒体。

关注我们获取更多信息

• Google News
• Twitter
• LinkedIn