El Grupo Lazarus, la infame unidad de piratería informática de Corea del Norte, ha llevado a cabo nuevos ciberataques en criptomonedas con un enfoque cada vez mayor en los desarrolladores.
Investigadores de seguridad han descubierto en los últimos meses que el grupo ha estado saboteando paquetes npm maliciosos que robandent, extraen datos de monederos de criptomonedas y crean una puerta trasera persistente en entornos de desarrollo. Esto marca una importante escalada en su ciberguerra, que ya ha sido testigo de algunos de los mayores robos de criptomonedas de la historia.
Según una nueva investigación del equipo de investigación de Socket , una rama de Lazarus Group ha penetrado en el repositorio npm, uno de los administradores de paquetes más populares para los desarrolladores de JavaScript.
Los hackers utilizaron técnicas de typosquatting para publicar versiones maliciosas de paquetes npm populares, engañando a desarrolladores desprevenidos para que descargaran los programas. Los paquetes incluyen is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency y auth-validator.
Al ejecutarse, los paquetes comprometidos instalan el malware BeaverTail. Esta herramienta avanzada puede robardentde inicio de sesión, buscar contraseñas guardadas en los archivos del navegador y extraer archivos de monederos de criptomonedas, como Solana y Exodus.
Los investigadores de seguridad notaron que los datos robados fueron enviados al servidor de comando y control (C2) codificado, un modus operandi común empleado por el Grupo Lazarus para transmitir datosdenta sus actores.
Su propósito es robar y transmitir datos comprometidos sin ser detectado, y era particularmente amenazante en el mundo de los desarrolladores que crean aplicaciones financieras y blockchain, dice Kirill Boychenko, analista de inteligencia de amenazas en Socket Security.
Lazarus lanzó una ofensiva contra Bybit, robando casi 1.460 millones de dólares
Además de estos ataques a la cadena de suministro, el Grupo Lazarus también ha sido vinculado a uno de los mayores robos de criptomonedas registrados. Se sospecha que su primera acción ocurrió el 21 de febrero de 2025, cuando hackers vinculados al grupo vulneraron Bybit, una de las plataformas de intercambio de criptomonedas más grandes del mundo, y se llevaron un estimado de 1.460 millones de dólares en criptoactivos.
El ataque fue extremadamente sofisticado y presuntamente se lanzó desde un dispositivo comprometido de un empleado de Safe{Wallet}, socio tecnológico de Bybit. Los hackers aprovecharon una vulnerabilidad en la infraestructura de la billetera Ethereum de Bybit y alteraron la lógica de lostracinteligentes para redirigir fondos a sus billeteras.
Aunque Bybit abordó el problema inmediatamente, una declaración del CEO Ben Zhou reveló que el 20% del dinero robado ya había sido lavado a través de servicios de mezcla y no era trac .
Esta última serie de ataques es parte de un esfuerzo más amplio de Corea del Norte para evadir las sanciones internacionales en su contra mediante el robo y el lavado de criptomonedas.
Según un informe de las Naciones Unidas de 2024, los ciberdelincuentes norcoreanos fueron responsables de más del 35 % de los robos globales de criptomonedas durante el último año, acumulando más de mil millones de dólares en activos robados. El Grupo Lazarus no es solo una organización criminal cibernética, sino también una amenaza geopolítica, ya que, según informes, el dinero robado se canaliza directamente a los programas de armas nucleares y misiles balísticos del país.
Estos ataques del Grupo Lazarus también han progresado a lo largo de los años, desde ataques directos a intercambios hasta ataques a la cadena de suministro e incluso ataques a desarrolladores y repositorios de software.
Al agregar puertas traseras a plataformas de código abierto como npm, PyPI y GitHub, el grupo amplía su rango de ataque potencial a muchos sistemas, eliminando la necesidad de piratear directamente los intercambios de criptomonedas.
Los expertos en seguridad piden protecciones más estrictas para los desarrolladores de criptomonedas
Ante estos crecientes riesgos, los especialistas en ciberseguridad exigen una seguridad más estricta para desarrolladores y usuarios de criptomonedas, así como protección contra hackers. Una de estas prácticas recomendadas es verificar la autenticidad de los paquetes npm antes de su instalación, ya que el typosquatting sigue siendo uno de los métodos más comunes que utilizan los ciberdelincuentes.
Socket AI Scanner también tracanomalías en las dependencias de su software o auditoría npm, lo que le informa si hay paquetes comprometidos en uso y le permite eliminarlos de su aplicación antes de que puedan causar algún daño real.
La guía recomienda que los usuarios y desarrolladores tomen la iniciativa de protegerse habilitando la autenticación multifactor (MFA) para billeteras de intercambio, plataformas de desarrolladores como GitHub y otras cuentas.
La monitorización de la red se considera ahora la primera línea de defensa, ya que el sistema comprometido suele enviar mensajes a un servidor de comando y control (C2) externo, que a su vez carga las actualizaciones maliciosas en el equipo infectado. Bloquear el tráfico saliente ilegítimo puede impedir que los hackers accedan a estos datos robados.
Bybit lanza una recompensa por recuperación a medida que se intensifica la batalla por la seguridad de las criptomonedas
Tras el hackeo de Bybit, la plataforma de intercambio también lanzó un Programa de Recompensas por Recuperación, que recompensa a quienes ayuden a encontrar los activos robados. El programa ofrece recompensas de hasta el 10% del dinero recuperado.
Al mismo tiempo, el ecosistema criptográfico más amplio está ocupado mejorando las prácticas de seguridad y alertando a los desarrolladores para que se protejan contra las mismas prácticas que pueden llevarnos por este camino amenazante.
Pero a medida que las tácticas de Lazarus Group avanzan cada vez más rápidamente, los defensores de la red dicen que la guerra contra las criptomonedas apenas ha comenzado.
