Une attaque sophistiquée dirigée contre une société d'écosystème de cryptomoneda a de nouveau mis en évidence comment une intrusion qui commence dans l'appareil personnel d'un développeur peut finir par vider des portefeuilles pour des millions de dollars dans un environnement nuageux. Selon le rapport semestriel de Google Cloud sur la menace du cloud, attribué avec un niveau de confiance modéré à un groupe lié à la Corée du Nord (suivi sous des acronymes tels que UNC4899, entre autres), la campagne a combiné l'ingénierie sociale, l'abus des mécanismes de transfert personnel-entreprise et les techniques de pivotage de l'appel vivant hors du nuage d'écheller les privilèges et de manipuler la logique financière dans la production ( H1 2026 Rapport Horizon sur la menace des nuages).
Le point d'entrée était simple, mais efficace : les attaquants se sont fait passer pour des collaborateurs d'un projet open source et ont réussi à obtenir du développeur qu'il télécharge un fichier compressé apparemment légitime. Le même fichier est passé du téléphone personnel à l'équipe d'entreprise via AirDrop, et a été ouvert dans un environnement de développement assisté par l'IV. Le code Python embarqué malveillant a ensuite été exécuté et déployé un binaire qui imitait l'outil de ligne de commande Kubernetes, fournissant une porte arrière silencieuse à la machine d'entreprise.
À partir de cette machine engagée, les attaquants ont recueilli des sessions et des références disponibles pour se déplacer dans l'environnement nuageux. Dans une première phase, ils ont reconnu les projets et services sous-cutés pour trouver une porte d'entrée plus critique: un hôte de base qui, après avoir modifié les attributs liés à l'authentification multifactorielle, leur a permis d'approfondir dans des gousses concrètes du cluster Kubernetes ( Qu'est-ce qu'un hôte de base).
La façon dont les opérateurs ont maintenu leur présence et la facilité avec laquelle ils ont pivoté dans l'environnement illustre pourquoi les défenseurs parlent de vivre à partir du cloud : ils ont modifié les configurations de déploiement de sorte que, chaque fois qu'un pod a été créé, une commande bash capable de télécharger et d'exécuter un backdoor a été automatiquement exécutée. Dans le même temps, ils ont introduit des changements dans les ressources liées à la plate-forme CI / CD pour enregistrer des jetons de comptes de service sur les journaux, leur permettant d'approprier un jeton de grand privilège et de l'utiliser pour passer latéralement à des pods avec des permissions élevées et des modes d'exécution privilégiés.
Avec cet accès privilégié, les attaquants ont réussi à échapper au conteneur et à déployer la persistance dans des infrastructures sensibles. Ils ont ensuite concentré leurs efforts sur une charge de travail qui stockait les informations client : identifiants, configurations de sécurité et données associées aux portefeuilles. Ils y ont extrait des identifiants statiques qui étaient dans des variables d'environnement et les ont utilisés pour se connecter à la base de données de production en utilisant le proxy Cloud SQL, où ils ont apporté des modifications de compte (restauration de mots de passe et mise à jour de semences MFA) pour enfin obtenir le contrôle des comptes à haute valeur et supprimer plusieurs millions d'actifs numériques.
L'incident contient plusieurs leçons qui ne sont pas nouvelles mais persistantes: les transferts personnels à la société (AirDrop, Bluetooth, moyens amovibles non gérés) continuent d'être des vecteurs d'entrée dangereux; les conteneurs exécutés en mode privilégié amplifient les dommages potentiels; et la manipulation de secrets dans un texte clair ou dans des variables d'environnement continue de faciliter l'escalade et l'exfiltration quand elle tombe dans les mauvaises mains. C'est pourquoi les auteurs du rapport recommandent une approche approfondie qui combine les contrôles d'identité, les restrictions de pont de données et un isolement strict dans les temps d'exécution des nuages.
Dans la pratique, il s'agit de valider en permanence l'identité et d'utiliser des facteurs résistants à l'hameçonnage, de restreindre ou de désactiver l'échange P2P sur les appareils de l'entreprise, en exigeant des images et des politiques de conteneur fiables qui empêchent les nœuds commis d'établir des communications sortantes non autorisées. Il oblige également à surveiller les processus inhabituels dans les conteneurs et à migrer les références et les secrets en dehors des variables d'environnement vers des solutions de gestion secrète robustes et vérifiables. Afin de mieux comprendre le fonctionnement de l'accès aux bases de données des environnements gérés, la documentation officielle Cloud SQL Auth Proxy.
La communauté de la sécurité dans le cloud a également du matériel de référence pour les plateformes et les pratiques de durcissement: La documentation officielle de Kubernetes sur les politiques de sécurité et de pod est un bon point de départ ( Kubernetes: concepts de sécurité) et des cadres de menaces tels que le catalogue MITRE aident à cartographier les techniques observées avec l'atténuation connue ( MITRE ATT & CK pour Cloud).
Il est également utile d'examiner les recommandations officielles sur l'utilisation sécuritaire des fonctions de transfert interappareils. Apple, par exemple, documente comment AirDrop fonctionne et quels contrôles existent pour limiter son utilisation, quelque chose de pertinent si vous voulez réduire le risque qu'un fichier malveillant franchisse la ligne entre personnel et travail ( Assistance Apple : AirDrop).
Cet épisode est une invitation à repenser l'architecture de confiance dans les équipes de développement et d'exploitation : le confort d'utiliser des assistants de code et de transférer des artefacts entre les appareils ne devrait pas effacer le besoin de contrôles de base. Une combinaison de politiques contextuelles d'accès, de MFA robuste, de bonne gestion secrète et de segmentation des temps d'exécution peut réduire considérablement la surface d'attaque Mais cela exige une discipline organisationnelle et une visibilité continue sur ce qui se passe au sein des grappes et des pipelines.
Que les acteurs motivés par l'État ont recours à de telles techniques intégrées - de l'ingénierie sociale à la manipulation des déploiements à Kubernetes - souligne que les scénarios de risque actuels sont hybrides et enchaînés: une petite négligence à la fin du développeur peut devenir, si les faiblesses de l'environnement nuageux sont exploitées, un vol de plusieurs millions de dollars. La prévention consiste à fermer ces chaînes dans tous leurs liens et à investir dans des contrôles qui entravent le mouvement latéral et la persistance une fois à l'intérieur.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...