O Lázaro da Coréia do Norte está travando uma guerra cibernética em criptografia - e os desenvolvedores são o novo alvo
O Lazarus Group, a infame unidade de hackers da Coréia do Norte, realizou novos ataques cibernéticos em criptomoeda, com um foco crescente nos desenvolvedores.
Pesquisadores de segurança descobriram nos últimos meses que o grupo tem sabotando pacotes de NPM maliciosos que roubam osdentprediços, exfiltram dados da carteira de criptomoeda e criam um backdoor persistente em ambientes de desenvolvimento. Ele marca uma grande escalada em sua guerra cibernética de um ano, que já testemunhou alguns dos maiores assaltos a criptografia da história.
De acordo com uma nova investigação da equipe de pesquisa de soquete , um ramo do Lazarus Group penetrou no repositório da NPM, um dos gerentes de pacotes mais populares para desenvolvedores de JavaScript.
Os hackers usaram técnicas de digitação para publicar versões maliciosas de pacotes populares de NPM, enganando desenvolvedores inocentes para baixar os programas. Os pacotes incluem o validador de buffer, o validador de Yoojae, o pacote de manutenção de eventos, o validador de matriz-decepção, o dependência de reação-evento e o valor de autenticação.
Quando executado, os pacotes comprometidos instalam o malware Beavertail. Essa ferramenta "avançada" pode roubar o Login CredentIals, pesquisar através de arquivos do navegador por senhas salvas e arquivos de despejo de carteiras de criptomoeda, como Solana e Exodus.
Pesquisadores de segurança observaram que os dados roubados foram enviados ao servidor codificado de comando e controle (C2), um modus operandi comum empregado pelo grupo Lazarus para retransmitir dados dedentde volta aos seus atores.
Seu objetivo é roubar e transmitir dados comprometidos sem serem detectados, e foi particularmente ameaçador no mundo dos desenvolvedores que construíram aplicativos financeiros e blockchain, diz Kirill Boychenko, analista de inteligência de ameaças da Socket Security.
Lazarus lançou uma ofensiva contra o bybit, roubando quase US $ 1,46 bilhão
Além desses ataques da cadeia de suprimentos, o Lazarus Group também foi vinculado a um dos maiores roubos de criptomoeda já registrados. Suspeita-se que sua primeira ação tenha ocorrido em 21 de fevereiro de 2025, quando hackers vinculados ao grupo violaram o bybit, uma das maiores trocas de criptografia do mundo, desativando US $ 1,46 bilhão em ativos de criptografia.
O ataque foi extremamente sofisticado e supostamente foi lançado a partir de um dispositivo comprometido de um funcionário seguro {Wallet}, um parceiro de tecnologia de bybit. Os hackers aproveitaram uma vulnerabilidade na infraestrutura da carteira Ethereum da Bybit e alteraram a lógica inteligente paratracfundos para suas carteiras.
Embora o Bybit tenha abordado o problema imediatamente, uma declaração do CEO Ben Zhou revelou que 20% do dinheiro roubado já havia sido lavado por meio de serviços de mixagem e era trac .
Esta última série de ataques faz parte do esforço mais amplo da Coréia do Norte para fugir das sanções internacionais contra ele, roubando e lavando a criptomoeda.
De acordo com um relatório das Nações Unidas para 2024, os cibercriminosos norte -coreanos foram responsáveis por mais de 35% dos roubos globais de criptomoedas no ano passado, acumulando mais de US $ 1 bilhão em ativos roubados. O Lazarus Group não é apenas um sindicato do cibercrime, mas também uma ameaça geopolítica, já que o dinheiro roubado é diretamente canalizado para as armas nucleares e programas de mísseis balísticos do país.
Tais ataques do grupo Lazarus também progrediram ao longo dos anos, de hacks de troca direta a ataques da cadeia de suprimentos e até ataques de desenvolvedores e repositórios de software.
Ao adicionar backdoors a plataformas de código aberto como NPM, PYPI e Github, o grupo expande seu intervalo de ataque potencial para muitos sistemas, eliminando a necessidade de invadir diretamente as trocas de criptomoedas.
Especialistas em segurança estão pedindo proteções mais rigorosas para desenvolvedores de criptografia
Observando esses riscos crescentes, os especialistas cibernéticos estão pressionando por segurança mais rígida para os desenvolvedores e usuários de criptografia e proteção contra hackers. Uma dessas práticas recomendadas é a verificação da realidade dos pacotes NPM antes da instalação, porque o digitação continua sendo um dos métodos mais comuns que os criminosos cibernéticos usam.
O Socket AI Scanner também tracanomalias KS em suas dependências de software ou auditoria do NPM, o que informa se algum pacotes comprometidos está em uso e permite removê -los do seu aplicativo antes que eles possam causar algum dano real.
O guia recomenda que usuários e desenvolvedores tomem a iniciativa de se proteger, permitindo que a autenticação de vários fatores (MFA) para carteiras de troca, plataformas de desenvolvedores como o GitHub e outras contas.
O monitoramento da rede agora é considerado a primeira linha de defesa, pois o sistema comprometido geralmente envia mensagens de volta a um servidor de comando e controle externo (C2), que então envia as atualizações maliciosas no computador infectado. Bloquear o tráfego ilegítimo de saída pode reduzir o acesso dos hackers a esses dados roubados.
Bybit lança a recompensa de recuperação como Batalha de Segurança de Criptografia aquece
Após o hack de bybit, a bolsa também iniciou um programa de recompensa de recuperação, recompensando qualquer pessoa que ajude a encontrar os ativos roubados. O programa permite recompensas de até 10% do dinheiro recuperado.
Ao mesmo tempo, o maior ecossistema de criptografia está ocupado aumentando as práticas de segurança e alertando os desenvolvedores para proteger contra as mesmas práticas que podem levar esse caminho ameaçador.
Mas, à medida que as táticas do Lazarus Group avançam cada vez mais rapidamente, os defensores da rede dizem que a guerra contra a Crypto apenas começou.
Academia Cryptopolitan: Cansado de balanços de mercado? Saiba como DeFi pode ajudá -lo a criar renda passiva constante. Registre -se agora
Artigos Recomendados
