El Grupo de Lázaro de Corea del Norte está librando una cibernética con criptografía, y los desarrolladores son el nuevo objetivo

El Grupo Lazarus, la infame unidad de piratería de Corea del Norte, ha llevado a cabo nuevos ataques cibernéticos en criptomonedas con un enfoque creciente en los desarrolladores. 

Los investigadores de seguridad han descubierto en los últimos meses que el grupo ha estado saboteando paquetes de NPM maliciosos que robandent, exfiltran datos de billetera de criptomonedas y crean una puerta trasera persistente en entornos de desarrollo. Marca una escalada importante en su Cyberwar de años, que ya ha sido testigo de algunos de los madrugadores más grandes de la historia.

Según una nueva investigación realizada por el equipo de investigación de Socket , una rama de Lazarus Group ha penetrado en el repositorio de NPM, uno de los gerentes de paquetes más populares para los desarrolladores de JavaScript.

Luego, los piratas informáticos utilizaron técnicas de tipograto para publicar versiones maliciosas de paquetes de NPM populares, engañando a los desarrolladores desprevenidos para que descarguen los programas. Los paquetes incluyen IS-Buffer-Validator, Yoojae-Validator, Event-Handle-Package, Matray-Expty-Validator, React-Event-Dependency y Auth-Validator. 

Cuando se ejecutan, los paquetes comprometidos instalan malware Beaverail. Esta herramienta "avanzada" puede robardentde inicio de sesión, buscar archivos de navegador para obtener contraseñas guardadas y volcar archivos de billeteras de criptomonedas, como Solana y Exodus.

Los investigadores de seguridad señalaron que los datos robados se enviaron al servidor de comando y control (C2) codificado, un modus operandi común empleado por el Grupo Lazarus para transmitir datosdenta sus actores. 

Su propósito es robar y transmitir datos comprometidos sin ser detectados, y fue particularmente amenazante en el mundo de los desarrolladores que construyen aplicaciones financieras y blockchain, dice Kirill Boychenko, analista de inteligencia de amenazas de Socket Security.

Lázaro lanzó una ofensiva contra Bybit, robando casi $ 1.46 mil millones

Además de estos ataques de la cadena de suministro, Lazarus Group también ha estado vinculado a uno de los mayores robos de criptomonedas registrados. Se sospecha que su primera acción ocurrió el 21 de febrero de 2025, cuando los piratas informáticos vinculados al grupo violaron Bybit, uno de los intercambios criptográficos más grandes del mundo, que se queda con un estimado de $ 1.46 mil millones en activos criptográficos.

El ataque fue extremadamente sofisticado y supuestamente se lanzó desde un dispositivo comprometido de un empleado seguro (billetera}, un socio de tecnología Bybit. Los piratas informáticos aprovecharon una vulnerabilidad en la infraestructura de la billetera Ethereum de Bybit y alteraron la lógicatracpara redirigir los fondos a sus billeteras.

Aunque Bybit abordó el problema de inmediato, una declaración del CEO Ben Zhou reveló que el 20% del dinero robado ya había sido lavado a través de servicios de mezcla y no era trac .

Esta última serie de ataques es parte del esfuerzo más amplio de Corea del Norte para evadir las sanciones internacionales contra ella robando y lavado la criptomoneda.

Según un informe de las Naciones Unidas para 2024, los ciberdelincuentes de Corea del Norte fueron responsables de más del 35% de los robos de criptomonedas globales durante el año pasado, acumulando más de $ 1 mil millones en activos robados. Lazarus Group no es solo un sindicato de delitos cibernéticos, sino también una amenaza geopolítica, ya que, según los informes, el dinero robado se canaliza directamente a los programas de armas nucleares y misiles balísticos de la nación.

Tales ataques grupales de Lázaro también han progresado a lo largo de los años, desde hacks de intercambio directo hasta ataques de la cadena de suministro e incluso ataques de desarrolladores y repositorio de software.

Al agregar traseros a plataformas de código abierto como NPM, PYPI y GitHub, el grupo amplía su rango de ataque potencial a muchos sistemas, eliminando la necesidad de piratear directamente los intercambios de criptomonedas.

Los expertos en seguridad están pidiendo protecciones más estrictas para los desarrolladores de criptografía. 

Al señalar estos crecientes riesgos, los especialistas cibernéticos están presionando por la seguridad más estricta para los desarrolladores y los usuarios de criptografía y la protección contra los piratas informáticos. Una de esas mejores prácticas es verificar la realidad de los paquetes de NPM antes de la instalación porque el tipo de tipogratación continúa siendo uno de los métodos más comunes que usan los ciberdelincuentes. 

Socket AI Scanner también tracKS Anomalies en sus dependencias de software o auditoría NPM, lo que le informa si se usan paquetes comprometidos y le permite eliminarlos de su aplicación antes de que puedan hacer algún daño real.

La guía recomienda que los usuarios y los desarrolladores tomen la iniciativa de protegerse al habilitar la autenticación multifactor (MFA) para billeteras de intercambio, plataformas de desarrolladores como GitHub y otras cuentas. 

El monitoreo de la red ahora se considera como la primera línea de defensa, ya que el sistema comprometido generalmente devuelve mensajes a un servidor de comando y control externo (C2), que luego carga las actualizaciones maliciosas en la computadora infectada. Bloquear el tráfico de salida ilegítimo puede reducir el acceso de los piratas informáticos a estos datos robados.

Bybit lanza la recompensa de recuperación mientras la batalla de seguridad criptográfica se calienta

Después del truco de Bybit, el intercambio también inició un programa de recompensas de recuperación, recompensando a cualquiera que ayude a encontrar los activos robados. El programa permite recompensas de hasta el 10% del dinero recuperado.

Al mismo tiempo, el ecosistema criptográfico más grande está ocupado aumentando las prácticas de seguridad y alertar a los desarrolladores de proteger contra las mismas prácticas que pueden conducir por este camino amenazante.

Pero a medida que las tácticas del Grupo de Lazarus avanzan cada vez más rápidamente, los defensores de la red dicen que la guerra contra la criptografía acaba de comenzar.

Academia Cryptopolitan: ¿Cansado de columpios del mercado? Aprenda cómo DeFi puede ayudarlo a generar ingresos pasivos constantes. Registrarse ahora