Die nordkoreanische Lazarus-Gruppe führt einen Cyberkrieg gegen Kryptowährungen – und Entwickler sind das neue Ziel

Die Lazarus-Gruppe, Nordkoreas berüchtigte Hacker-Einheit, hat neue Cyberangriffe im Bereich Kryptowährungen durchgeführt, wobei der Fokus zunehmend auf Entwicklern liegt. 

Sicherheitsforscher haben in den letzten Monaten entdeckt, dass die Gruppe bösartige npm-Pakete sabotiert, diedentstehlen, Daten von Kryptowährungs-Wallets exfiltrieren und eine dauerhafte Hintertür in Entwicklungsumgebungen einrichten. Dies stellt eine massive Eskalation in ihrem jahrelangen Cyberkrieg dar, der bereits einige der größten Kryptodiebstähle der Geschichte hervorgebracht hat.

Nach einer neuen Untersuchung des Socket Research Teamsist es einem Ableger der Lazarus Group gelungen, in das npm-Repository einzudringen, einen der beliebtesten Paketmanager für JavaScript-Entwickler. 

Die Hacker nutzten anschließend Typosquatting, um manipulierte Versionen beliebter npm-Pakete zu veröffentlichen und ahnungslose Entwickler zum Herunterladen der Programme zu verleiten. Zu den betroffenen Paketen gehören is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency und auth-validator. 

Die manipulierten Pakete installieren nach ihrer Ausführung die BeaverTail-Malware. Dieses „fortschrittliche“ Tool kanndentstehlen, Browserdateien nach gespeicherten Passwörtern durchsuchen und Dateien aus Kryptowährungs-Wallets wie Solana und Exodus auslesen.

Sicherheitsforscher stellten fest, dass die gestohlenen Daten an den fest codierten Command-and-Control-Server (C2) gesendet wurden. Dies ist eine gängige Vorgehensweise der Lazarus-Gruppe, umdentDaten an ihre Akteure weiterzuleiten. 

Ziel ist es, kompromittierte Daten zu stehlen und zu übertragen, ohne entdeckt zu werden. Besonders bedrohlich war es für Entwickler, die Finanz- und Blockchain-Anwendungen erstellen, sagt Kirill Boychenko, Bedrohungsanalyst bei Socket Security.

Lazarus startete eine Offensive gegen Bybit und stahl dabei fast 1,46 Milliarden Dollar

Zusätzlich zu diesen Angriffen auf Lieferketten wird die Lazarus-Gruppe auch mit einem der größten Kryptowährungsdiebstähle der Geschichte in Verbindung gebracht. Ihre erste Aktion soll am 21. Februar 2025 stattgefunden haben, als Hacker mit Verbindungen zur Gruppe in Bybit, eine der weltweit größten Kryptobörsen, eindrangen und Krypto-Vermögenswerte im Wert von schätzungsweise 1,46 Milliarden US-Dollar erbeuteten.

Der Angriff war äußerst ausgeklügelt und erfolgte mutmaßlich von einem kompromittierten Gerät eines Mitarbeiters von Safe{Wallet}, einem Technologiepartner von Bybit. Hacker nutzten eine Schwachstelle in der Infrastruktur der Ethereum Wallet von Bybit aus und manipulierten die Logik des Smarttrac, um Gelder auf ihre Wallets umzuleiten.

Obwohl Bybit das Problem umgehend angegangen ist, zeigte eine Erklärung von CEO Ben Zhou , dass 20 % des gestohlenen Geldes bereits über Mixing-Dienste gewaschen worden und nichttrac.

Diese jüngste Angriffsserie ist Teil der umfassenderen Bemühungen Nordkoreas, internationale Sanktionen durch den Diebstahl und die Geldwäsche von Kryptowährungen zu umgehen.

Laut einem Bericht der Vereinten Nationen aus dem Jahr 2024 waren nordkoreanische Cyberkriminelle im vergangenen Jahr für über 35 % der weltweiten Kryptowährungsdiebstähle verantwortlich und erbeuteten dabei Vermögenswerte im Wert von über einer Milliarde US-Dollar. Die Lazarus-Gruppe stellt nicht nur ein Cyberkriminellen-Syndikat dar, sondern auch eine geopolitische Bedrohung, da gestohlenes Geld Berichten zufolge direkt in die Atomwaffen- und Raketenprogramme des Landes fließt.

Solche Angriffe der Lazarus-Gruppe haben sich im Laufe der Jahre weiterentwickelt, von direkten Börsenhacks über Lieferkettenangriffe bis hin zu Angriffen auf Entwickler und Software-Repositorys.

Durch das Hinzufügen von Hintertüren zu Open-Source-Plattformen wie npm, PyPI und GitHub erweitert die Gruppe ihr potenzielles Angriffsspektrum auf viele Systeme und macht so das direkte Hacken von Kryptowährungsbörsen überflüssig.

Sicherheitsexperten fordern strengere Schutzmaßnahmen für Krypto-Entwickler 

Angesichts dieser wachsenden Risiken fordern Cybersicherheitsexperten strengere Sicherheitsvorkehrungen für Entwickler und Krypto-Nutzer sowie einen besseren Schutz vor Hackern. Eine bewährte Methode ist die Überprüfung der Echtheit von npm-Paketen vor der Installation, da Typosquatting weiterhin eine der häufigsten Methoden von Cyberkriminellen darstellt. 

Der Socket AI Scanner tracaußerdem Anomalien in Ihren Softwareabhängigkeiten oder im npm-Audit auf. Dadurch werden Sie darüber informiert, ob kompromittierte Pakete verwendet werden, und können diese aus Ihrer Anwendung entfernen, bevor sie wirklichen Schaden anrichten können.

Der Leitfaden empfiehlt Nutzern und Entwicklern, selbst die Initiative zu ergreifen und sich zu schützen, indem sie die Multi-Faktor-Authentifizierung (MFA) für Exchange-Wallets, Entwicklerplattformen wie GitHub und andere Konten aktivieren. 

Netzwerküberwachung gilt heute als erste Verteidigungslinie, da kompromittierte Systeme üblicherweise Nachrichten an einen externen Command-and-Control-Server (C2-Server) senden, der dann die schädlichen Updates auf den infizierten Computer hochlädt. Durch das Blockieren unberechtigten ausgehenden Datenverkehrs kann der Zugriff von Hackern auf diese gestohlenen Daten eingeschränkt werden.

Bybit startet Belohnungsaktion zur Wiederherstellung von Kryptowährungen, während der Kampf um Kryptosicherheit an Schärfe gewinnt

Nach dem Bybit-Hack startete die Börse ein Prämienprogramm zur Wiederbeschaffung der gestohlenen Vermögenswerte. Dabei werden Belohnungen von bis zu 10 % des wiedergefundenen Geldes ausgezahlt.

Gleichzeitig arbeitet das gesamte Krypto-Ökosystem intensiv daran, die Sicherheitsmaßnahmen zu verbessern und Entwickler zu warnen, sich vor genau diesen Praktiken zu schützen, die zu diesem bedrohlichen Weg führen können.

Da die Taktiken der Lazarus Group jedoch immer schneller voranschreiten, sagen Netzwerkverteidiger, dass der Krieg gegen Kryptowährungen erst begonnen hat.