Перекинул файл по AirDrop и остался без миллионов. История одного очень неудачного рабочего дня

Северокорейская группа UNC4899 провела сложную атаку на облачную инфраструктуру криптовалютной компании и похитила цифровые активы на миллионы долларов. Взлом начался с обычного файла, который разработчик получил под видом совместной работы над проектом с открытым исходным кодом.

Корпорация Google описала инцидент в отчёте Cloud Threat Horizons за первое полугодие 2026 года. Специалисты связывают операцию с группой UNC4899, известной также под названиями Jade Sleet, PUKCHONG, Slow Pisces и TraderTraitor.

Атака началась с социальной инженерии. Злоумышленники убедили разработчика скачать архив якобы для участия в совместной разработке. Файл сначала открыли на личном устройстве, а затем перенесли на рабочий компьютер через функцию AirDrop.

Разработчик открыл архив в интегрированной среде разработки с поддержкой искусственного интеллекта. Внутри находился вредоносный скрипт на Python. После запуска код загрузил и запустил двоичный файл, который маскировался под консольную утилиту Kubernetes.

Программа связалась с доменом злоумышленников и превратилась в скрытый канал доступа к рабочему компьютеру. Через активные сеансы и доступные учётные данные злоумышленники проникли в облачную инфраструктуру Google Cloud. Затем начался этап разведки: злоумышленники изучили доступные сервисы и проекты.

Затем группа обнаружила промежуточный сервер доступа и изменила параметры политики многофакторной аутентификации, чтобы подключиться к системе. После входа злоумышленники продолжили разведку и получили доступ к отдельным компонентам среды Kubernetes.

Для закрепления в инфраструктуре UNC4899 использовала так называемую тактику «жизнь за счёт облака». Злоумышленники изменили конфигурацию развёртывания Kubernetes, чтобы при создании новых контейнеров автоматически запускалась команда bash. Команда загружала скрытую программу удалённого доступа.

Параллельно злоумышленники вмешались в ресурсы Kubernetes, связанные с платформой непрерывной интеграции и доставки. В конфигурацию добавили команды, которые выводили служебные токены учётных записей в журналы системы. Один из токенов принадлежал учётной записи с высокими правами. С его помощью группа повысила привилегии и начала перемещаться по инфраструктуре.

Токен позволил подключиться к чувствительному контейнеру, который работал в привилегированном режиме. Через него злоумышленники вышли за пределы контейнера и установили ещё один скрытый канал доступа для постоянного присутствия в системе.

После очередного этапа разведки внимание злоумышленников переключилось на рабочую нагрузку, связанную с управлением учётными записями клиентов. В конфигурации контейнера хранились переменные среды со статическими учётными данными базы данных. Защита отсутствовала.

С помощью полученных данных группа подключилась к рабочей базе данных через прокси Cloud SQL и выполнила SQL-команды. Злоумышленники изменили параметры нескольких учётных записей пользователей, включая сброс паролей и обновление ключей многофакторной аутентификации. После захвата этих учётных записей удалось вывести цифровые активы на несколько миллионов долларов.

В отчёте Google указано, что инцидент показал опасность передачи файлов между личными и рабочими устройствами, а также риски неправильной работы с секретными данными в облачных системах. Компании рекомендуют внедрять строгую проверку личности, ограничивать передачу данных между устройствами и жёстко изолировать рабочие среды в облаке. Также советуют отключать или ограничивать обмен файлами через AirDrop и Bluetooth на корпоративных устройствах и внимательно отслеживать необычные процессы внутри контейнеров.