Hackers norte-coreanos roubam criptomoedas com Docker e vagas falsas

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...

A estratégia de bilhões de dólares do grupo Lazarus para roubar criptoativos usando Docker, engenharia social e ataques à nuvem.

Nos últimos meses, hackers norte-coreanos protagonizaram uma campanha de ataques cibernéticos sofisticados que resultou no roubo de milhões de dólares em criptomoedas. Utilizando engenharia social altamente convincente, contêineres Docker maliciosos e exploração de ambientes de nuvem como Google Cloud e AWS, o grupo UNC4899 — também conhecido como TraderTraitor, um braço do notório Lazarus Group — tem como alvo desenvolvedores e profissionais de tecnologia em posições estratégicas.

Este artigo investiga como esses ataques acontecem, desde o primeiro contato com as vítimas até a extração final dos fundos. Em um cenário onde criptomoedas continuam a atrair tanto inovação quanto criminalidade, compreender essas ameaças é vital para manter a segurança de criptoativos em ambientes corporativos e individuais.

Imagem de mãos
Imagem: Gizchina

O ator da ameaça: quem é o grupo UNC4899?

O UNC4899 é um grupo de ameaça persistente avançada (APT) vinculado diretamente ao Gabinete Geral de Reconhecimento da Coreia do Norte. Também identificado como Jade Sleet ou TraderTraitor, o grupo atua sob a estrutura maior do Lazarus Group, já bem conhecido pela sua atuação agressiva no ciberespaço global.

Entre seus ataques mais notórios estão:

  • O roubo de mais de US$ 600 milhões da plataforma Axie Infinity, via ponte Ronin, em 2022.
  • O recente ataque à exchange DMM Bitcoin, que resultou na perda de US$ 305 milhões.
  • O comprometimento da Bybit, com movimentações financeiras suspeitas ainda sob investigação.

O modus operandi do grupo vem se sofisticando, com o uso de técnicas cada vez mais direcionadas, visando ambientes de desenvolvimento, infraestrutura de nuvem e sistemas de armazenamento sensíveis.

A anatomia do ataque: um passo a passo da engenharia social à nuvem

A isca: vagas de emprego falsas e pacotes maliciosos

O primeiro ponto de contato dos hackers norte-coreanos com suas vítimas é, muitas vezes, por meio de propostas de emprego fraudulentas. Essas abordagens ocorrem principalmente via LinkedIn e Telegram, com mensagens direcionadas a desenvolvedores experientes em linguagens como JavaScript, Python e Solidity.

As mensagens geralmente oferecem trabalhos remotos bem remunerados e pedem que o candidato “avalie” um projeto de código hospedado no GitHub. Ao aceitar o convite, a vítima clona repositórios que contêm pacotes npm ou PyPI maliciosos, supostamente úteis para o projeto — mas que, na verdade, iniciam o comprometimento da máquina.

O vetor é simples: ao instalar um pacote, um script pós-instalação executa comandos que baixam e inicializam contêineres Docker criados especialmente para o ataque.

A invasão: de um contêiner Docker ao roubo de credenciais

Com o contêiner em execução, o ambiente da vítima se torna o terreno ideal para os malwares implantados pelos atacantes. Um dos principais é o GLASSCANNON, um downloader que atua como ponte para outras cargas maliciosas, como:

  • PLOTTWIST: backdoor persistente com capacidade de comando e controle (C2).
  • MAZEWIRE: ferramenta para movimentação lateral e extração de dados confidenciais.

Esses malwares coletam credenciais, tokens de acesso à nuvem, chaves API e dados armazenados em variáveis de ambiente, muitos dos quais usados para autenticação em serviços como AWS e Google Cloud Platform.

O golpe na nuvem: explorando Google Cloud e AWS

Com as credenciais em mãos, os hackers acessam diretamente as contas de nuvem da vítima, utilizando ferramentas oficiais como o Google Cloud CLI e AWS CLI.

As ações incluem:

  • Escalonamento de privilégios com o objetivo de acessar recursos críticos da infraestrutura.
  • Desativação temporária da autenticação multifator (MFA) para evitar restrições administrativas. Após o ataque, a MFA é reativada, dificultando a detecção.
  • Acesso a buckets Amazon S3 e modificação de arquivos JavaScript que controlam transações financeiras em apps e plataformas.

Essas alterações permitem redirecionar transações ou manipular carteiras de forma silenciosa, resultando no desvio de fundos em criptomoedas diretamente para endereços controlados pelos criminosos.

As ferramentas do crime: malwares e a cadeia de suprimentos

Além do uso de Docker e pacotes maliciosos, os hackers norte-coreanos vêm expandindo suas táticas com ferramentas específicas para roubo de credenciais.

Uma delas é o BeaverTail, um ladrão de credenciais especializado em extrair dados de carteiras cripto, navegadores, gerenciadores de senhas e ambientes de nuvem.

A campanha atual, batizada de Contagious Interview, representa uma industrialização da engenharia social, onde cada parte do ataque — desde a abordagem inicial até o payload final — foi cuidadosamente projetada para parecer legítima e convincente.

Relatórios recentes indicam um aumento expressivo de pacotes maliciosos no npm e PyPI atribuídos ao grupo, reforçando a urgência de verificações automatizadas e auditorias de dependências em projetos de software.

Conclusão: como se proteger de ataques tão sofisticados?

Os ataques do grupo UNC4899 revelam uma estratégia coordenada que combina:

  • Engenharia social direcionada a profissionais de tecnologia.
  • Exploração de plataformas legítimas de desenvolvimento, como npm, PyPI e Docker.
  • Acesso abusivo a infraestruturas em nuvem, explorando credenciais mal protegidas e falhas na aplicação de MFA.

Diante disso, a melhor defesa começa com a educação e conscientização contínua. Empresas devem:

  • Reforçar políticas de segurança de nuvem, incluindo uso obrigatório de MFA robusta e monitoramento de logs.
  • Implementar auditorias automatizadas de dependências, usando ferramentas como Snyk, Dependabot e npm audit.
  • Promover simulações de phishing e treinamentos regulares para alertar desenvolvedores sobre abordagens suspeitas.
  • Usar repositórios internos ou verificados para bibliotecas de código, minimizando o risco de dependências contaminadas.

Sua empresa está preparada para um ataque que mira diretamente seus desenvolvedores? Compartilhe suas estratégias de defesa nos comentários.

Compartilhe este artigo