北朝鮮の悪名高いハッキング集団「ラザルス・グループ」は、開発者をますます標的にしながら、暗号通貨に対する新たなサイバー攻撃を遂行している。.
セキュリティ研究者らは、このグループが過去数ヶ月間、dent情報の窃取、暗号通貨ウォレットデータの窃取、開発環境への永続的なバックドアの作成を行う悪質なnpmパッケージの妨害工作を行っていたことを発見した。これは、長年にわたるサイバー戦争における大きなエスカレーションであり、既に史上最大級の暗号通貨強盗事件がいくつか発生している。.
Socket Research Teamによる新たな調査によると、Lazarus Group の支部が、JavaScript 開発者に最も人気のあるパッケージ マネージャーの 1 つである npm リポジトリに侵入したようです。
その後、ハッカーたちはタイポスクワッティングの手法を用いて、人気のnpmパッケージの悪意あるバージョンを公開し、何も知らない開発者を騙してプログラムをダウンロードさせました。これらのパッケージには、is-buffer-validator、yoojae-validator、event-handle-package、array-empty-validator、react-event-dependency、auth-validatorなどが含まれます。.
実行されると、侵害されたパッケージはBeaverTailマルウェアをインストールします。この「高度な」ツールは、ログインdent情報を盗み、ブラウザファイルから保存されたパスワードを検索し、 Solana やExodusなどの暗号通貨ウォレットからファイルをダンプすることができます。.
セキュリティ研究者は、盗まれたデータがハードコードされたコマンドアンドコントロール(C2)サーバーに送信されたと指摘した。これは、ラザルスグループがdentデータを攻撃者に中継するためによく使用する手口である。.
その目的は、検知されることなく侵害されたデータを盗み、送信することであり、金融およびブロックチェーンアプリケーションを構築する開発者の世界では特に脅威であったと、ソケットセキュリティの脅威情報アナリスト、キリル・ボイチェンコ氏は述べている。.
ラザルスはバイビットに対して攻撃を開始し、約14億6000万ドルを盗んだ。
これらのサプライチェーン攻撃に加え、ラザルス・グループは史上最大規模の暗号資産窃盗事件にも関与している。同グループの最初の活動は2025年2月21日に発生したとみられており、同グループに所属するハッカーが世界最大級の暗号資産取引所の一つであるBybitに侵入し、推定14億6000万ドル相当の暗号資産を盗み出した。.
この攻撃は非常に巧妙で、Bybitの技術パートナーであるSafe{Wallet}の従業員の侵入されたデバイスから実行されたとされています。ハッカーはBybitの Ethereum ウォレットのインフラの脆弱性を悪用し、スマートtracのロジックを改ざんして資金を自身のウォレットにリダイレクトしました。.
バイビットはすぐに問題に対処したが、 CEOのベン・ジョウ氏によると、盗まれた資金の20%はすでにミキシングサービスを通じて洗浄されており、trac。
この最新の一連の攻撃は、北朝鮮が暗号通貨を盗み、マネーロンダリングすることで国際的な制裁を逃れようとする広範な取り組みの一環である。.
2024年の国連報告書によると、北朝鮮のサイバー犯罪者は過去1年間で世界の仮想通貨盗難の35%以上を占め、盗まれた資産は10億ドル以上に上ります。ラザルス・グループは単なるサイバー犯罪シンジケートではなく、盗まれた資金が北朝鮮の核兵器や弾道ミサイル開発計画に直接流入していると報じられていることから、地政学的な脅威でもあります。.
このような Lazarus Group の攻撃も、直接的な取引所のハッキングからサプライ チェーン攻撃、さらには開発者やソフトウェア リポジトリへの攻撃まで、長年にわたって進化してきました。.
npm、PyPI、GitHub などのオープンソース プラットフォームにバックドアを追加することで、このグループは潜在的な攻撃範囲を多くのシステムに拡大し、暗号通貨取引所に直接ハッキングする必要がなくなります。.
セキュリティ専門家は、暗号開発者に対するより厳格な保護を求めている
こうしたリスクの増大に鑑み、サイバー専門家は開発者や暗号通貨ユーザーに対するセキュリティ強化とハッカーからの保護を強く求めています。そうしたベストプラクティスの一つとして、npmパッケージのインストール前にその正当性を確認することが挙げられます。なぜなら、タイポスクワッティングはサイバー犯罪者が依然として最も頻繁に用いる手口の一つだからです。.
Socket AI Scanner は、ソフトウェア依存関係や npm 監査の異常も trac、侵害されたパッケージが使用されているかどうかを通知し、実際の損害が発生する前にアプリケーションから削除できるようにします。.
このガイドでは、ユーザーと開発者が取引所のウォレット、GitHub などの開発者プラットフォーム、その他のアカウントに対して多要素認証 (MFA) を有効にして自らを保護することを推奨しています。.
ネットワーク監視は現在、防御の最前線とみなされています。侵害されたシステムは通常、外部のコマンドアンドコントロール(C2)サーバーにメッセージを送信し、C2サーバーは感染したコンピュータに悪意のあるアップデートをアップロードします。そのため、不正なアウトバウンドトラフィックをブロックすることで、ハッカーによる窃取データへのアクセスを遮断できます。.
暗号資産セキュリティの戦いが激化する中、Bybitが復旧報奨金制度を開始
Bybitのハッキング事件を受けて、同取引所は盗まれた資産の発見に協力した人に報奨金を支払う「Recovery Bounty Program」を開始しました。このプログラムでは、回収された資産の最大10%が報奨金として支払われます。.
同時に、より大規模な暗号エコシステムは、セキュリティ対策を強化し、この脅威につながる可能性のある同じ対策から身を守るよう開発者に警告することに尽力しています。.
しかし、ラザルス・グループの戦術がこれまで以上に急速に進化するにつれ、ネットワーク擁護者たちは暗号通貨との戦いは始まったばかりだと述べている。.
