Skupina spojená se Severní Koreou, označovaná jako UNC4899, stojí za sérií útoků, při nichž zneužila sociální inženýrství a cloudové služby k odcizení milionů dolarů v kryptoměnách. Útočníci se vydávali za náboráře a oslovovali zaměstnance prostřednictvím LinkedInu či Telegramu s nabídkami spolupráce. Ti byli následně přesvědčeni ke spuštění škodlivých Docker kontejnerů, které otevřely cestu k dalšímu napadení systémů.

Skupina, známá také pod označeními TraderTraitor, Jade Sleet nebo Slow Pisces, působí nejméně od roku 2020 a dlouhodobě cílí na sektor kryptoměn a blockchainu. Mezi její největší akce patří útok na síť Axie Infinity z roku 2022 s lupem 625 milionů dolarů, incident na burze DMM Bitcoin v roce 2024 s odcizením 308 milionů a nedávný průlom na Bybit v únoru 2025, při kterém zmizelo 1,4 miliardy dolarů.

Podle zpráv využívali hackeři přístupové údaje k prostředím Google Cloud a AWS, odkud prováděli průzkum a následně nahrazovali legitimní JavaScriptové soubory škodlivým kódem. Ten byl navržen k manipulaci s funkcemi kryptoměnových peněženek a k provádění neautorizovaných transakcí. Ve výsledku se útočníkům podařilo převést kryptoměny v hodnotě několika milionů dolarů.

Současně byly mezi lednem a červencem 2025 zaznamenány stovky škodlivých balíčků na npm a PyPI, které napodobovaly běžné vývojářské nástroje. Tyto knihovny fungovaly jako skrytý spyware, kradly přihlašovací údaje a otevíraly zadní vrátka do kritické infrastruktury. Analýzy ukazují, že jde o součást širší kampaně Contagious Interview, vedené severokorejskými aktéry v rámci snahy o systematickou krádež digitálních aktiv.

Zdroj: The Hacker News