Nos últimos meses, hackers norte-coreanos protagonizaram uma campanha de ataques cibernéticos sofisticados que resultou no roubo de milhões de dólares em criptomoedas. Utilizando engenharia social altamente convincente, contêineres Docker maliciosos e exploração de ambientes de nuvem como Google Cloud e AWS, o grupo UNC4899 — também conhecido como TraderTraitor, um braço do notório Lazarus Group — tem como alvo desenvolvedores e profissionais de tecnologia em posições estratégicas.
Este artigo investiga como esses ataques acontecem, desde o primeiro contato com as vítimas até a extração final dos fundos. Em um cenário onde criptomoedas continuam a atrair tanto inovação quanto criminalidade, compreender essas ameaças é vital para manter a segurança de criptoativos em ambientes corporativos e individuais.
O ator da ameaça: quem é o grupo UNC4899?
O UNC4899 é um grupo de ameaça persistente avançada (APT) vinculado diretamente ao Gabinete Geral de Reconhecimento da Coreia do Norte. Também identificado como Jade Sleet ou TraderTraitor, o grupo atua sob a estrutura maior do Lazarus Group, já bem conhecido pela sua atuação agressiva no ciberespaço global.
Entre seus ataques mais notórios estão:
- O roubo de mais de US$ 600 milhões da plataforma Axie Infinity, via ponte Ronin, em 2022.
- O recente ataque à exchange DMM Bitcoin, que resultou na perda de US$ 305 milhões.
- O comprometimento da Bybit, com movimentações financeiras suspeitas ainda sob investigação.
O modus operandi do grupo vem se sofisticando, com o uso de técnicas cada vez mais direcionadas, visando ambientes de desenvolvimento, infraestrutura de nuvem e sistemas de armazenamento sensíveis.
A anatomia do ataque: um passo a passo da engenharia social à nuvem
A isca: vagas de emprego falsas e pacotes maliciosos
O primeiro ponto de contato dos hackers norte-coreanos com suas vítimas é, muitas vezes, por meio de propostas de emprego fraudulentas. Essas abordagens ocorrem principalmente via LinkedIn e Telegram, com mensagens direcionadas a desenvolvedores experientes em linguagens como JavaScript, Python e Solidity.
As mensagens geralmente oferecem trabalhos remotos bem remunerados e pedem que o candidato “avalie” um projeto de código hospedado no GitHub. Ao aceitar o convite, a vítima clona repositórios que contêm pacotes npm ou PyPI maliciosos, supostamente úteis para o projeto — mas que, na verdade, iniciam o comprometimento da máquina.
O vetor é simples: ao instalar um pacote, um script pós-instalação executa comandos que baixam e inicializam contêineres Docker criados especialmente para o ataque.
A invasão: de um contêiner Docker ao roubo de credenciais
Com o contêiner em execução, o ambiente da vítima se torna o terreno ideal para os malwares implantados pelos atacantes. Um dos principais é o GLASSCANNON, um downloader que atua como ponte para outras cargas maliciosas, como:
- PLOTTWIST: backdoor persistente com capacidade de comando e controle (C2).
- MAZEWIRE: ferramenta para movimentação lateral e extração de dados confidenciais.
Esses malwares coletam credenciais, tokens de acesso à nuvem, chaves API e dados armazenados em variáveis de ambiente, muitos dos quais usados para autenticação em serviços como AWS e Google Cloud Platform.
O golpe na nuvem: explorando Google Cloud e AWS
Com as credenciais em mãos, os hackers acessam diretamente as contas de nuvem da vítima, utilizando ferramentas oficiais como o Google Cloud CLI e AWS CLI.
As ações incluem:
- Escalonamento de privilégios com o objetivo de acessar recursos críticos da infraestrutura.
- Desativação temporária da autenticação multifator (MFA) para evitar restrições administrativas. Após o ataque, a MFA é reativada, dificultando a detecção.
- Acesso a buckets Amazon S3 e modificação de arquivos JavaScript que controlam transações financeiras em apps e plataformas.
Essas alterações permitem redirecionar transações ou manipular carteiras de forma silenciosa, resultando no desvio de fundos em criptomoedas diretamente para endereços controlados pelos criminosos.
As ferramentas do crime: malwares e a cadeia de suprimentos
Além do uso de Docker e pacotes maliciosos, os hackers norte-coreanos vêm expandindo suas táticas com ferramentas específicas para roubo de credenciais.
Uma delas é o BeaverTail, um ladrão de credenciais especializado em extrair dados de carteiras cripto, navegadores, gerenciadores de senhas e ambientes de nuvem.
A campanha atual, batizada de Contagious Interview, representa uma industrialização da engenharia social, onde cada parte do ataque — desde a abordagem inicial até o payload final — foi cuidadosamente projetada para parecer legítima e convincente.
Relatórios recentes indicam um aumento expressivo de pacotes maliciosos no npm e PyPI atribuídos ao grupo, reforçando a urgência de verificações automatizadas e auditorias de dependências em projetos de software.
Conclusão: como se proteger de ataques tão sofisticados?
Os ataques do grupo UNC4899 revelam uma estratégia coordenada que combina:
- Engenharia social direcionada a profissionais de tecnologia.
- Exploração de plataformas legítimas de desenvolvimento, como npm, PyPI e Docker.
- Acesso abusivo a infraestruturas em nuvem, explorando credenciais mal protegidas e falhas na aplicação de MFA.
Diante disso, a melhor defesa começa com a educação e conscientização contínua. Empresas devem:
- Reforçar políticas de segurança de nuvem, incluindo uso obrigatório de MFA robusta e monitoramento de logs.
- Implementar auditorias automatizadas de dependências, usando ferramentas como Snyk, Dependabot e npm audit.
- Promover simulações de phishing e treinamentos regulares para alertar desenvolvedores sobre abordagens suspeitas.
- Usar repositórios internos ou verificados para bibliotecas de código, minimizando o risco de dependências contaminadas.
Sua empresa está preparada para um ataque que mira diretamente seus desenvolvedores? Compartilhe suas estratégias de defesa nos comentários.
