Le groupe Lazare, la tristement célèbre unité de piratage de la Corée du Nord, a effectué de nouvelles cyberattaques en crypto-monnaie avec un accent croissant sur les développeurs.
Les chercheurs en sécurité ont découvert au cours des derniers mois que le groupe sabotait des packages NPM malveillants qui volent desdent, les données de portefeuille de crypto-monnaie exfiltrates et créent une porte dérobée persistante dans les environnements de développement. Il marque une escalade majeure dans leur cyber-war depuis des années, qui a déjà assisté à certains des plus grands cambriols de crypto de l'histoire.
Selon une nouvelle enquête de l' équipe de recherche Socket , une branche du groupe Lazare a pénétré le référentiel NPM, l'un des gestionnaires de package les plus populaires pour les développeurs JavaScript.
Les pirates ont ensuite utilisé des techniques de typosquat pour publier des versions malveillantes de packages NPM populaires, trompant les développeurs sans méfiance dans le téléchargement des programmes. Les packages incluent IS-Buffer-Validator, Yoojae-Validator, Event-Handle-Package, Array-Empty-Validator, React-Event-Dépendance et Auth-Validator.
Lorsqu'ils sont exécutés, les packages compromis installent Beavertail malware. Cet outil «avancé» peut voler desdentde connexion, rechercher via des fichiers de navigateur pour les mots de passe enregistrés et vider des fichiers à partir de portefeuilles de crypto-monnaie, tels que Solana et Exodus.
Les chercheurs en sécurité ont noté que les données volées avaient été envoyées au serveur de commandement et de contrôle (C2) codé en dur (C2), un modus opérandi commun utilisé par le groupe Lazarus pour relâcher les donnéesdentà leurs acteurs.
Son objectif est de voler et de transmettre des données compromises sans être détectées, et elle était particulièrement menaçante dans le monde des développeurs créant des applications financières et blockchain, explique Kirill Boychenko, analyste des renseignements sur les menaces chez Socket Security.
Lazarus a lancé une offensive contre le relais, volant près de 1,46 milliard de dollars
En plus de ces attaques de chaîne d'approvisionnement, le groupe Lazare a également été lié à l'un des plus grands vols de crypto-monnaie jamais enregistrés. Sa première action est soupçonnée d'avoir eu lieu le 21 février 2025, lorsque des pirates liés au groupe ont violé Bybit, l'un des plus grands échanges de cryptographie du monde, réalisant avec environ 1,46 milliard de dollars en crypto.
L'attaque a été extrêmement sophistiquée et aurait été lancée à partir d'un appareil compromis d'un employé de sécurité {Wallet}, un partenaire technologique Bybit. Les pirates ont exploité une vulnérabilité dans l'infrastructure du portefeuille Ethereum de Bybit et modifié la logique detracintelligente pour rediriger les fonds vers leurs portefeuilles.
Bien que Bybit ait immédiatement abordé le problème, une déclaration du PDG Ben Zhou a révélé que 20% des fonds volés avaient déjà été blanchis via des services de mixage et étaient non trac .
Cette dernière série d'attaques fait partie des efforts plus larges de la Corée du Nord pour échapper aux sanctions internationales contre elle en volant et en blanchiment la crypto-monnaie.
Selon un rapport de 2024 Nations Unies, les cybercriminels nord-coréens étaient responsables de plus de 35% des vols mondiaux de crypto-monnaie au cours de la dernière année, accumulant plus d'un milliard de dollars d'actifs volés. Le groupe Lazare n'est pas seulement un syndicat de cybercriminalité, mais aussi une menace géopolitique puisque l'argent volé aurait directement canalisé dans les programmes d'armes nucléaires et de missiles balistiques du pays.
Ces attaques de groupe Lazare ont également progressé au fil des ans, des hacks d'échange direct aux attaques de chaîne d'approvisionnement et même aux attaques de développeur et de référentiel logiciel.
En ajoutant des délais à des plates-formes open source comme NPM, PYPI et GitHub, le groupe étend sa plage d'attaque potentielle à de nombreux systèmes, éliminant la nécessité de pirater directement dans les échanges de crypto-monnaie.
Les experts en sécurité appellent à des protections plus strictes pour les développeurs de cryptographie
Notant ces risques croissants, les cyber-spécialistes font pression pour une sécurité plus stricte pour les développeurs et les utilisateurs de crypto et la protection contre les pirates. Une de ces meilleures pratiques consiste à vérifier la réalité des packages NPM avant l'installation, car la typosquat continue d'être l'une des méthodes les plus courantes que les cyber-criminels utilisent.
Le scanner AI de socket tracégalement des anomalies KS dans vos dépendances logicielles ou audit NPM, qui vous informe si des packages compromis sont utilisés et vous permet de les supprimer de votre application avant de pouvoir faire des dégâts réels.
Le guide recommande aux utilisateurs et aux développeurs de prendre l'initiative de se protéger en permettant une authentification multi-facteurs (MFA) pour les portefeuilles d'échange, des plateformes de développeurs comme GitHub et d'autres comptes.
La surveillance du réseau est désormais considérée comme la première ligne de défense car le système compromis renverra généralement des messages à un serveur de commande et de contrôle externe (C2), qui télécharge ensuite les mises à jour malveillantes sur l'ordinateur infecté. Le blocage du trafic sortant illégitime peut réduire l'accès des pirates à ces données volées.
Bybit lance la récupation de la récupation alors que la bataille de sécurité crypto se réchauffe
Après le hack Bybit, l'échange a également lancé un programme de primes de récupération, récompensant toute personne qui aide à trouver les actifs volés. Le programme permet des récompenses allant jusqu'à 10% de l'argent récupéré.
Dans le même temps, le plus grand écosystème de cryptographie est occupé à accélérer les pratiques de sécurité et à alerter les développeurs pour se protéger contre les mêmes pratiques qui peuvent entraîner cette voie menaçante.
Mais comme les tactiques du groupe Lazare progressent de plus en plus rapidement, les défenseurs du réseau disent que la guerre contre la crypto ne fait que commencer.
Cryptopolitan Academy: à venir bientôt - une nouvelle façon de gagner un revenu passif avec DeFi en 2025. En savoir plus
