La Corea del Nord è appena salita al terzo posto tra i governi che detengono Bitcoin dopo un furto di criptovalute da 1,4 miliardi di dollari. Il 21 febbraio, gli hacker del Lazarus Group, un'organizzazione criminale informatica sostenuta da Pyongyang, si sono infiltrati in Bybit, uno dei più grandi exchange di criptovalute al mondo, rubando principalmente Ethereum.
Poco dopo, il gruppo ha convertito una gran parte dei fondi rubati in Bitcoin, portando il totale delle riserve della Corea del Nord a 13.562 BTC, per un valore di 1,14 miliardi di dollari.
Gli Stati Uniti, che hanno recentemente lanciato la loro Strategic Bitcoin Reserve (SBR), rimangono il maggiore detentore governativo Bitcoin con 198.109 BTC, per un valore di 16,71 miliardi di dollari. Il Regno Unito segue con 61.245 BTC, per un valore di 5,17 miliardi di dollari. La nuova posizione della Corea del Nord la pone davanti al Bhutan, che detiene 10.635 BTC (897,6 milioni di dollari), ed El Salvador, che detiene 6.117 BTC (516,11 milioni di dollari).
L'improvviso aumento delle partecipazioni si è verificato pochi giorni prima che ildent Donald Trump firmasse un ordine esecutivo il 6 marzo, istituendo ufficialmente l'SBR, alimentando le speculazioni sulle motivazioni della Corea del Nord nella corsa globale alle criptovalute.
Il gruppo Lazarus cashi fondi rubati nonostante la repressione globale
La fortuna della Corea del Nord Bitcoin non è solo in un portafoglio. Le società tracblockchain riferiscono che 300 milioni di dollari provenienti dall'hacking di Bybit sono già stati cash, nonostante gli sforzi globali per congelare i fondi.
"Ogni minuto è prezioso per gli hacker che cercano di confondere le tracce del denaro, e sono estremamente sofisticati in quello che fanno", ha affermato Tom Robinson, co-fondatore di Elliptic, un'azienda trac i flussi illeciti di criptovalute. I beni rubati vengono trasferiti attraverso un complesso processo di riciclaggio, con gli esperti che avvertono che il denaro sta finanziando i programmi nucleari e militari della Corea del Nord.
Anche il Lazarus Group ha ampliato le sue attività informatiche. Negli ultimi mesi, i ricercatori hanno scoperto che gli hacker avevano compromesso npm, un popolare gestore di pacchetti per sviluppatori JavaScript.
Utilizzando tecniche di typosquatting, Lazarus ha inserito versioni dannose di pacchetti software ampiamente utilizzati, inducendo gli sviluppatori a scaricare codice infetto da malware. I pacchetti corrotti, tra cui is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency e auth-validator, hanno iniettato il malware BeaverTail al momento dell'esecuzione.
BeaverTailtracledentdi accesso, analizza i file del browser alla ricerca di password salvate e svuota i wallet di criptovalute come Solana ed Exodus. "Questo malware rappresenta una minaccia diretta per gli sviluppatori che lavorano su applicazioni finanziarie e blockchain", ha affermato Kirill Boychenko, analista di threat intelligence presso Socket Security. Il malware trasmette segretamente dati rubati ai server controllati da Lazarus, una tattica che il gruppo di hacker utilizza da anni per rimanere inosservato.
OKX sotto esame per riciclaggio di fondi Lazarus mentre Bybit congela i beni
Le autorità di regolamentazione di tutta Europa stanno indagando su OKX, una delle più grandi piattaforme di trading di criptovalute, per accuse di riciclaggio di 100 milioni di dollari in relazione all'attacco informatico a Bybit. Il 6 marzo, i funzionari di tutti i 27 Stati membri dell'Unione Europea si sono riuniti presso l'Autorità europea degli strumenti finanziari e dei mercati (ESMA) per discutere se la piattaforma Web3 di OKX rientri nel quadro normativo sui mercati delle criptovalute (MiCA).
Le autorità sostengono che gli hacker di Lazarus hanno utilizzato il portafoglio autocustodito e il servizio di trading decentralizzato di OKX per elaborare i fondi rubati e, se ritenuti colpevoli, OKX potrebbe dover affrontare pesanti sanzioni.
Nel frattempo, Bybit e altri exchange stanno attivamente congelando i fondi hackerati, ma non tutte le piattaforme stanno collaborando. Un exchange, eXch, avrebbe permesso a Lazarus di cash oltre 90 milioni di dollari prima di intervenire. I dirigenti di Bybit hanno accusato Johann Roberts, proprietario di eXch, di aver deliberatamente ritardato il congelamento dei beni.
Roberts nega ogni illecito. "Inizialmente non abbiamo congelato i fondi perché eravamo in una disputa di lunga data con Bybit e non eravamo sicuri che i fondi provenissero dall'hack", ha dichiarato in una dichiarazione via email. In seguito ha confermato che eXch sta ora collaborando, ma ha criticato le misure repressive da parte delle autorità, sostenendo che minacciano la privacy e l'anonimato nel settore delle criptovalute.
Gli Stati Uniti e i loro alleati continuano ad accusare la Corea del Nord di decine di attacchi informatici ai sistemi di criptovalute nell'ultimo decennio, evidenziando la dipendenza di Pyongyang dalle criptovalute rubate per aggirare le sanzioni economiche. Inizialmente, Lazarus Group si è concentrato sull'hacking delle banche, ma negli ultimi cinque anni ha spostato la sua attenzione interamente sugli exchange di criptovalute, prendendo di mira piattaforme centralizzate, protocolli DeFi e sviluppatori di blockchain.
