Il gruppo Lazarus, la famigerata unità di hacking della Corea del Nord, ha condotto nuovi attacchi informatici alle criptovalute, concentrandosi sempre più sugli sviluppatori.
Negli ultimi mesi, i ricercatori di sicurezza hanno scoperto che il gruppo ha sabotato pacchetti npm dannosi che rubanodent, esfiltrano dati dai wallet di criptovalute e creano una backdoor persistente negli ambienti di sviluppo. Questo segna un'importante escalation nella loro guerra informatica che dura da anni, e che ha già visto alcuni dei più grandi furti di criptovalute della storia.
Secondo una nuova indagine del Socket Research Team , una branca del Lazarus Group è penetrata nel repository npm, uno dei gestori di pacchetti più popolari tra gli sviluppatori JavaScript.
Gli hacker hanno quindi utilizzato tecniche di typosquatting per pubblicare versioni dannose di pacchetti npm molto diffusi, inducendo gli sviluppatori ignari a scaricarli. I pacchetti includono is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency e auth-validator.
Una volta eseguiti, i pacchetti compromessi installano il malware BeaverTail. Questo strumento "avanzato" può rubaredentdi accesso, cercare password salvate nei file del browser e scaricare file da wallet di criptovalute, come Solana ed Exodus.
I ricercatori della sicurezza hanno notato che i dati rubati venivano inviati al server di comando e controllo (C2) codificato, un modus operandi comune impiegato dal Lazarus Group per inoltrare datidentai propri attori.
Il suo scopo è rubare e trasmettere dati compromessi senza essere scoperti, ed è risultato particolarmente minaccioso nel mondo degli sviluppatori che realizzano applicazioni finanziarie e blockchain, afferma Kirill Boychenko, analista di threat intelligence presso Socket Security.
Lazarus ha lanciato un'offensiva contro Bybit, rubando quasi 1,46 miliardi di dollari
Oltre a questi attacchi alla supply chain, Lazarus Group è stato anche coinvolto in uno dei più grandi furti di criptovalute mai registrati. Si sospetta che la sua prima azione sia avvenuta il 21 febbraio 2025, quando alcuni hacker collegati al gruppo hanno violato Bybit, uno dei più grandi exchange di criptovalute al mondo, rubando circa 1,46 miliardi di dollari in criptovalute.
L'attacco è stato estremamente sofisticato e sarebbe stato lanciato da un dispositivo compromesso di un dipendente di Safe{Wallet}, un partner tecnologico di Bybit. Gli hacker hanno sfruttato una vulnerabilità nell'infrastruttura del portafoglio Ethereum di Bybit e hanno alterato la logica degli smarttracper reindirizzare i fondi ai loro portafogli.
Sebbene Bybit abbia affrontato immediatamente il problema, una dichiarazione del CEO Ben Zhou ha rivelato che il 20% del denaro rubato era già stato riciclato tramite servizi di mixing ed era trac .
Questa ultima serie di attacchi rientra nel più ampio sforzo della Corea del Nord per eludere le sanzioni internazionali contro di essa, rubando e riciclando criptovalute.
Secondo un rapporto delle Nazioni Unite del 2024, i criminali informatici nordcoreani sono stati responsabili di oltre il 35% dei furti di criptovalute a livello globale nell'ultimo anno, accumulando oltre 1 miliardo di dollari in beni rubati. Lazarus Group non è solo un'organizzazione criminale informatica, ma anche una minaccia geopolitica, poiché il denaro rubato verrebbe direttamente convogliato nei programmi di armi nucleari e missili balistici del Paese.
Anche gli attacchi del gruppo Lazarus hanno fatto progressi nel corso degli anni, passando dagli attacchi diretti agli scambi agli attacchi alla supply chain e persino agli attacchi agli sviluppatori e ai repository software.
Aggiungendo backdoor a piattaforme open source come npm, PyPI e GitHub, il gruppo estende il suo potenziale raggio di attacco a molti sistemi, eliminando la necessità di hackerare direttamente gli exchange di criptovalute.
Gli esperti di sicurezza chiedono protezioni più severe per gli sviluppatori di criptovalute
Consapevoli di questi crescenti rischi, gli esperti di sicurezza informatica stanno spingendo per una maggiore sicurezza per sviluppatori e utenti di criptovalute, nonché per una protezione dagli hacker. Una di queste buone pratiche è verificare l'autenticità dei pacchetti npm prima dell'installazione, poiché il typosquatting continua a essere uno dei metodi più comuni utilizzati dai criminali informatici.
Socket AI Scanner tracanche le anomalie nelle dipendenze software o nell'audit npm, che ti informa se sono in uso pacchetti compromessi e ti consente di rimuoverli dall'applicazione prima che possano causare danni reali.
La guida consiglia agli utenti e agli sviluppatori di prendere l'iniziativa di proteggersi abilitando l'autenticazione a più fattori (MFA) per i portafogli di scambio, le piattaforme per sviluppatori come GitHub e altri account.
Il monitoraggio della rete è ora considerato la prima linea di difesa, poiché il sistema compromesso solitamente invia messaggi a un server di comando e controllo (C2) esterno, che a sua volta carica gli aggiornamenti dannosi sul computer infetto. Bloccare il traffico in uscita illegittimo può impedire agli hacker di accedere a questi dati rubati.
Bybit lancia una ricompensa per il recupero mentre la battaglia sulla sicurezza delle criptovalute si intensifica
In seguito all'attacco informatico a Bybit, l'exchange ha anche avviato un programma di ricompensa per il recupero dei beni rubati, che premia chiunque contribuisca al ritrovamento. Il programma prevede ricompense fino al 10% del denaro recuperato.
Allo stesso tempo, l'ecosistema crittografico più ampio è impegnato a intensificare le pratiche di sicurezza e ad allertare gli sviluppatori affinché si proteggano dalle stesse pratiche che possono portare su questa strada minacciosa.
Ma mentre le tattiche del Lazarus Group avanzano sempre più rapidamente, i difensori della rete affermano che la guerra contro le criptovalute è appena iniziata.
