Le groupe Lazarus, la tristement célèbre unité de piratage informatique nord-coréenne, a mené de nouvelles cyberattaques dans le domaine des cryptomonnaies, en ciblant de plus en plus les développeurs.
Ces derniers mois, des chercheurs en sécurité ont découvert que le groupe sabotait des paquets npm malveillants qui volent desdent, exfiltrent des données de portefeuilles de cryptomonnaies et créent une porte dérobée persistante dans les environnements de développement. Cela marque une escalade majeure dans leur cyberguerre qui dure depuis des années et qui a déjà été le théâtre de certains des plus importants vols de cryptomonnaies de l'histoire.
Selon une nouvelle enquête de l' équipe de recherche Socket , une branche du groupe Lazarus a pénétré le dépôt npm, l'un des gestionnaires de paquets les plus populaires auprès des développeurs JavaScript.
Les pirates ont ensuite utilisé des techniques de typosquatting pour publier des versions malveillantes de packages npm populaires, incitant ainsi des développeurs non avertis à télécharger ces programmes. Parmi ces packages figurent is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency et auth-validator.
Une fois exécutés, les paquets compromis installent le logiciel malveillant BeaverTail. Cet outil « avancé » peut voler lesdentde connexion, rechercher les mots de passe enregistrés dans les fichiers du navigateur et extraire des fichiers de portefeuilles de cryptomonnaies, tels que Solana et Exodus.
Les chercheurs en sécurité ont noté que les données volées ont été envoyées au serveur de commande et de contrôle (C2) codé en dur, un modus operandi courant employé par le groupe Lazarus pour relayer des donnéesdentà leurs acteurs.
Son objectif est de voler et de transmettre des données compromises sans être détecté, et il était particulièrement menaçant dans le monde des développeurs d'applications financières et blockchain, explique Kirill Boychenko, analyste du renseignement sur les menaces chez Socket Security.
Lazarus a lancé une offensive contre Bybit, dérobant près de 1,46 milliard de dollars
Outre ces attaques contre la chaîne d'approvisionnement, le groupe Lazarus est également impliqué dans l'un des plus importants vols de cryptomonnaies jamais enregistrés. Son premier acte aurait eu lieu le 21 février 2025, lorsque des pirates informatiques liés au groupe ont pénétré le système de Bybit, l'une des plus grandes plateformes d'échange de cryptomonnaies au monde, et se sont emparés d'environ 1,46 milliard de dollars d'actifs numériques.
L'attaque était extrêmement sophistiquée et aurait été lancée depuis un appareil compromis d'un employé de Safe{Wallet}, partenaire technologique de Bybit. Les pirates ont exploité une vulnérabilité dans l'infrastructure du portefeuille Ethereum de Bybit et modifié la logique destracintelligents pour rediriger les fonds vers leurs portefeuilles.
Bien que Bybit ait immédiatement pris en charge le problème, une déclaration du PDG Ben Zhou a révélé que 20 % de l'argent volé avait déjà été blanchi via des services de mixage et était trac .
Cette dernière série d'attaques s'inscrit dans le cadre des efforts plus vastes déployés par la Corée du Nord pour contourner les sanctions internationales qui la visent en volant et en blanchissant des cryptomonnaies.
D'après un rapport des Nations Unies de 2024, les cybercriminels nord-coréens sont responsables de plus de 35 % des vols de cryptomonnaies dans le monde au cours de l'année écoulée, accumulant plus d'un milliard de dollars d'actifs volés. Le groupe Lazarus représente non seulement une organisation criminelle spécialisée dans la cybercriminalité, mais aussi une menace géopolitique, car l'argent volé serait directement réinvesti dans les programmes d'armement nucléaire et de missiles balistiques du pays.
Ces attaques du groupe Lazarus ont également évolué au fil des ans, passant du piratage direct des plateformes d'échange à des attaques contre la chaîne d'approvisionnement, voire même à des attaques contre les développeurs et les dépôts de logiciels.
En ajoutant des portes dérobées à des plateformes open source comme npm, PyPI et GitHub, le groupe étend son champ d'action potentiel à de nombreux systèmes, éliminant ainsi la nécessité de pirater directement les plateformes d'échange de cryptomonnaies.
Des experts en sécurité réclament des protections plus strictes pour les développeurs de cryptomonnaies
Face à ces risques croissants, les spécialistes en cybersécurité préconisent un renforcement des mesures de sécurité pour les développeurs et les utilisateurs de cryptomonnaies, ainsi qu'une meilleure protection contre les pirates informatiques. Parmi les bonnes pratiques recommandées, il est conseillé de vérifier l'authenticité des paquets npm avant leur installation, car le typosquatting demeure l'une des méthodes les plus courantes employées par les cybercriminels.
Socket AI Scanner tracégalement les anomalies dans vos dépendances logicielles ou votre audit npm, ce qui vous informe si des packages compromis sont utilisés et vous permet de les supprimer de votre application avant qu'ils ne puissent causer de réels dommages.
Le guide recommande aux utilisateurs et aux développeurs de prendre l'initiative de se protéger en activant l'authentification multifacteurs (MFA) pour les portefeuilles d'échange, les plateformes de développement comme GitHub et autres comptes.
La surveillance du réseau est désormais considérée comme la première ligne de défense, car le système compromis envoie généralement des messages à un serveur de commande et de contrôle externe (C2), qui télécharge ensuite les mises à jour malveillantes sur l'ordinateur infecté. Bloquer le trafic sortant illégitime permet de priver les pirates d'accès aux données volées.
Bybit lance un programme de primes de récupération alors que la bataille pour la sécurité des cryptomonnaies s'intensifie
Suite au piratage de Bybit, la plateforme a également mis en place un programme de primes de récupération, récompensant toute personne contribuant à retrouver les actifs volés. Ce programme offre des récompenses pouvant atteindre 10 % des sommes récupérées.
Dans le même temps, l'écosystème crypto dans son ensemble s'emploie à renforcer ses pratiques de sécurité et à alerter les développeurs afin qu'ils se protègent contre les mêmes pratiques susceptibles de mener à cette situation périlleuse.
Mais face à l'accélération constante des tactiques du groupe Lazarus, les défenseurs du réseau affirment que la guerre contre les cryptomonnaies ne fait que commencer.
