Группа хакеров Lazarus, связанная с Северной Кореей, продолжает свою незаконную деятельность в секторе криптовалют. Недавно коллектив перевел 400 ETH, что эквивалентно примерно 750 000 долларов, через сервис микширования Tornado Cash. Этот метод позволяет скрыть происхождение средств, что затрудняет отслеживание транзакций.
Summary
Лазарь отмывает 400 ETH через Tornado Cash
Компания по безопасности блокчейн CertiK обнаружила и сообщила об этом перемещении именно сегодня. По мнению экспертов, средства имеют прямую связь с деятельностью группы Lazarus в сети Bitcoin.
Лазарь — одна из самых опасных хакерских организаций в криптоиндустрии. Группа ответственна за атаку на платформу обмена Bybit, произошедшую 21 февраля, в ходе которой было похищено $1,4 миллиарда в цифровых активах.
Это не первый удар, приписываемый группе: в январе была выявлена связь Lazarus с другой атакой, на exchange Phemex, в которой было украдено 29 миллионов долларов. С первых месяцев 2024 года северокорейские хакеры продолжали отмывать капиталы и разрабатывать новые инструменты для атаки на платформы crypto.
На протяжении многих лет Lazarus считалась ответственной за некоторые из самых крупных атак в истории криптовалют. Среди них выделяется атака на 600 миллионов долларов на сеть Ronin в 2022 году. Согласно данным аналитической компании по блокчейну Chainalysis, в 2024 году северокорейские хакеры похитили более 1,3 миллиарда долларов в криптовалюте через 47 кибератак, что удваивает значение похищений, произошедших в 2023 году.
Новый вредоносный софт для атаки на разработчиков
Помимо постоянных атак на биржи, группа Lazarus начала распространять новые инструменты взлома для атаки на разработчиков и криптовалютные кошельки.
Эксперты по кибербезопасности компании Socket обнаружили шесть новых вредоносных пакетов, разработанных для проникновения в среды разработки, кражи учетных данных и похищения критической информации о криптовалютах. Эти вредоносные программы также позволяют устанавливать backdoor в скомпрометированных системах, открывая путь для дальнейших атак.
Хакеры нацелились на Node Package Manager (NPM), одну из наиболее используемых библиотек для разработки приложений на JavaScript. Для распространения вредоносного ПО Lazarus использует технику, известную как typosquatting, которая заключается в создании вредоносных пакетов с именами, очень похожими на имена легитимных библиотек.
Один из выявленных вредоносных программ, называемый “BeaverTail”, был обнаружен внутри этих поддельных пакетов. После установки BeaverTail способен похищать средства из криптовалютных кошельков, с особым вниманием к кошелькам Solana и Exodus.
Даже наиболее используемые веб-браузеры, такие как Google Chrome, Brave и Firefox, попадают в зону действия атаки. Кроме того, вредоносное ПО действует на системах macOS, нацеливаясь на файлы keychain для доступа к учетным данным и конфиденциальной информации разработчиков.
Техники, связанные с Lazarus
Окончательное приписывание этих новых атак группе Lazarus остается вызовом для экспертов по кибербезопасности. Тем не менее, используемая методология демонстрирует сходство с техниками, которые коллектив применял в прошлом.
Аналитики из Socket подчеркнули, что методы, используемые в этих кибератаках, совпадают с известными стратегиями группы Lazarus. Комбинация тайпосквоттинга, атак на пакеты NPM и нацеливания на разработчиков указывает на эволюцию в операционных методах группы.
Лазарь продолжает дестабилизировать криптоэкосистему
Группа Lazarus подтверждает свою репутацию одной из самых опасных угроз для сектора криптовалют. Их способность адаптироваться и разрабатывать всё более сложные техники представляет собой серьезный риск для exchange, разработчиков и пользователей crypto.
Кибератаки, проводимые северокорейскими хакерами, не только вызывают значительные экономические потери, но и ставят под угрозу всю экосистему цифровых валют. С использованием инструментов отмывания, таких как Tornado Cash, и распространением продвинутых вредоносных программ, Lazarus продолжает ускользать от контроля глобальных органов безопасности.
Эксперты по кибербезопасности советуют принимать эффективные меры защиты для снижения риска цифровых инфекций и краж, такие как тщательный мониторинг программных пакетов и использование передовых инструментов безопасности.
