Buod ng Cybersecurity Threats mula sa North Korea
Ayon sa H2 2025 Cloud Threat Horizons Report ng Google Cloud, ang Threat Intelligence team ng kumpanya ay nagmamatyag sa UNC4899, isang grupo ng mga hacker na may kaugnayan sa North Korea na inakusahan ng paglabag sa dalawang organisasyon matapos makipag-ugnayan sa mga empleyado sa pamamagitan ng mga social media platform.
“Aktibo mula pa noong 2020, pangunahing tinatarget ng UNC4899 ang mga industriya ng cryptocurrency at blockchain at nagpakita ng sopistikadong kakayahan upang isagawa ang mga kumplikadong kompromiso sa supply chain.”
Mga Insidente ng Pag-atake
Binanggit ng ulat na sa pagitan ng Q3 2024 at Q1 2025, tumugon ang cybersecurity firm na Mandiant sa dalawang hiwalay na insidente na may kaugnayan sa UNC4899, na nakaapekto sa Google Cloud environment ng isang organisasyon at AWS environment ng isa pa.
Habang ang mga unang at huling yugto ng mga paglusob ay may mga karaniwang taktika, ang mga pamamaraan na ginamit sa mga intermediate na yugto ay nag-iba, na malamang na nagpapakita ng mga pagkakaiba sa mga arkitektura ng sistema ng mga biktima.
Mga Taktika ng mga Hacker
Sa unang yugto ng mga pag-atake, nakipag-ugnayan ang mga hacker sa mga biktima sa pamamagitan ng mga social media platform, isa sa pamamagitan ng Telegram at ang isa pa sa pamamagitan ng LinkedIn, na nagpapanggap bilang mga recruiter ng freelance software development.
Ang mga target na empleyado ay hindi namamalayan na inutusan silang patakbuhin ang mga nakakapinsalang Docker container sa kanilang mga workstation. Ang aksyong ito ay nag-trigger ng pag-deploy ng malware, kabilang ang mga downloader tulad ng GLASSCANNON at mga pangalawang payload tulad ng PLOTTWIST at MAZEWIRE backdoors, na sa huli ay nagbigay-daan sa mga umaatake na kumonekta sa kanilang command-and-control (C2) servers.
“Sa parehong kaso, nagsagawa ang UNC4899 ng ilang internal reconnaissance activities sa mga host at konektadong environment ng mga biktima, bago makuha ang mga credential materials na ginamit nila upang lumipat sa cloud environments ng mga biktima.”
Pagsusuri sa mga Pekeng Alok ng Trabaho
Ang mga hacker mula sa North Korea ay lalong umaasa sa mga pekeng alok ng trabaho upang makapasok sa mga kumpanya. Noong Hulyo, pinatawan ng parusa ng U.S. Treasury si Song Kum Hyok dahil sa umano’y pagpapatakbo ng isang scheme na naglagay ng mga nakatagong North Korean IT workers sa mga kumpanya sa U.S. upang makalikha ng kita para sa Democratic People’s Republic of Korea (DPRK).
Ang mga manggagawang ito, kadalasang nakabase sa China o Russia, ay gumamit ng mga pekeng pagkakakilanlan at nasyonalidad, na hindi alam ng mga employer ang panlilinlang.
Ang Kahalagahan ng Desentralisadong Ecosystem
Habang ang mga pandaigdigang banta ay nagtutulak sa mga crypto platform na palakasin ang seguridad, ito ay isang makapangyarihang paalala kung bakit mahalaga ang mga desentralisadong ecosystem na pinapatakbo ng komunidad tulad ng Shibarium.
Hindi tulad ng mga tradisyunal na setup na madaling kapitan ng mga sentralisadong pagsasamantala, ang bukas na imprastruktura ng Shibarium ay nagbibigay kapangyarihan sa mga developer na bumuo nang may transparency, tibay, at tiwala sa puso.
Ang desentralisasyon na ito ay hindi lamang nagpapahirap para sa mga masamang aktor, tulad ng mga grupong hacker na suportado ng estado, na makakuha ng foothold kundi nagbibigay-daan din para sa mas mabilis na pagtuklas at pagtugon kapag may mga kahinaan na lumitaw.
Habang ang espasyo ng cryptocurrency ay humaharap sa tumataas na panganib sa cyber, ang mga ecosystem tulad ng Shibarium ay nagbibigay-diin sa isang ibang landas pasulong, isa na nakaugat sa desentralisasyon, transparency, at isang sama-samang pangako sa pagbuo ng mga tool na nagsisilbi, hindi nagsasamantala, sa mga tao.
