Grupa Lazarus Powiązana z Praniem 750,000 Dolarów w Ethereum

Grupa Lazarus, związana z Koreą Północną grupa hakerów, zintensyfikowała swoją działalność w cyberprzestrzeni, czego dowodzą dwa nowe incydenty o dużym rozgłosie.

13 marca firma zajmująca się bezpieczeństwem blockchain, CertiK, poinformowała, że grupa zdeponowała 400 Ethereum (ETH), o wartości około 750 000 dolarów, w usłudze mieszania Tornado Cash, narzędziu używanym do ukrywania pochodzenia kryptoaktywów.

#CertiKInsight 🚨

Wykryliśmy wpłatę 400 ETH na https://t.co/0lwPdz0OWi w Ethereum od:
0xdB31a812261d599A3fAe74Ac44b1A2d4e5d00901
0xB23D61CeE73b455536EF8F8f8A5BadDf8D5af848.

Fundusz śledzi aktywność grupy Lazarus w sieci Bitcoin.

Bądź czujny! pic.twitter.com/IHwFwt5uQs

— CertiK Alert (@CertiKAlert) 13 marca 2025

Ten ruch był powiązany z ich wcześniejszą aktywnością w sieci Bitcoin, podkreślając ciągłe wysiłki grupy na rzecz prania pieniędzy po głośnych atakach hakerskich.

Grupa Lazarus jest notoryczna ze względu na swoje udział w dużych kradzieżach kryptowalut, w tym w haku o wartości 1,4 miliarda dolarów na Bybit w lutym 2025 roku oraz w haku na 29 milionów dolarów na Phemex w styczniu, jak zauważył CoinTelegraph.

Zgodnie z danymi firmy zajmującej się analizą blockchaina Chainalysis, Lazarus ukradł ponad 1,3 miliarda dolarów w aktywach kryptowalutowych tylko w 2024 roku, co stanowi więcej niż podwojenie ich kradzieży z 2023 roku.

Tymczasem, badacze z zakresu cyberbezpieczeństwa z Socket odkryli nową falę złośliwych pakietów atakujących ekosystem npm, używany przez programistów do zarządzania bibliotekami JavaScript.

Sześć złośliwych pakietów, pobranych ponad 330 razy, okazało się zawierać formę złośliwego oprogramowania znaną jako BeaverTail. Te pakiety naśladują legalne biblioteki, stosując zwodniczą taktykę zwane typosquatting, gdzie drobne zmiany w nazwach są używane do oszukiwania programistów i skłaniania ich do instalowania szkodliwego kodu.

Badacze z Socket zaobserwowali, że taktyka, techniki i procedury zastosowane w tym ataku npm są ściśle związane z znanymi operacjami Lazarusa. Pakiety zostały zaprojektowane, aby kraść wrażliwe informacje, w tym dane uwierzytelniające i dane kryptowalut, a także instalować backdoory w dotkniętych systemach.

Konkretnie, celowali w pliki w przeglądarkach takich jak Chrome, Brave i Firefox oraz dane klucza dostępu na macOS, koncentrując się na programistach, którzy mogą nie zauważyć złośliwego oprogramowania podczas instalacji.

Ten atak podkreśla ciągłe wykorzystywanie przez Lazarusa zaawansowanych metod infiltracji, wykorzystując zaufane nazwy w rejestrze npm do wyzyskiwania społeczności open-source. Pomimo używanych technik utrudniających wykrycie, badacze byli w stanie zidentyfikować złośliwe zamiary i oznaczyć pakiety do usunięcia.

W miarę jak Lazarus kontynuuje swoje cyberprzestępcze działania, eksperci ostrzegają, że organizacje muszą przyjąć bardziej rygorystyczne środki bezpieczeństwa, takie jak automatyczne audyty kodu i skanowanie zależności, aby zapobiec podobnym atakom.