O Grupo Lazarus, a infame unidade de hackers da Coreia do Norte, realizou novos ciberataques em criptomoedas, com foco crescente em desenvolvedores.
Pesquisadores de segurança descobriram nos últimos meses que o grupo vem sabotando pacotes npm maliciosos que roubamdent, exfiltram dados de carteiras de criptomoedas e criam backdoors persistentes em ambientes de desenvolvimento. Isso representa uma grande escalada em sua guerra cibernética de longa data, que já testemunhou alguns dos maiores roubos de criptomoedas da história.
De acordo com uma nova investigação da Socket Research Team , uma ramificação do Lazarus Group infiltrou-se no repositório npm, um dos gerenciadores de pacotes mais populares entre os desenvolvedores JavaScript.
Os hackers então usaram técnicas de typosquatting para publicar versões maliciosas de pacotes populares do npm, enganando desenvolvedores desavisados para que baixassem os programas. Os pacotes incluem is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency e auth-validator.
Quando executados, os pacotes comprometidos instalam o malware BeaverTail. Essa ferramenta "avançada" pode roubardentde login, vasculhar arquivos do navegador em busca de senhas salvas e extrair arquivos de carteiras de criptomoedas, como Solana e Exodus.
Pesquisadores de segurança observaram que os dados roubados foram enviados para o servidor de comando e controle (C2) embutido no código, um modus operandi comum empregado pelo Grupo Lazarus para retransmitir dadosdentaos seus agentes.
Seu objetivo é roubar e transmitir dados comprometidos sem ser detectado, e era particularmente ameaçador no mundo dos desenvolvedores que criam aplicativos financeiros e de blockchain, afirma Kirill Boychenko, analista de inteligência de ameaças da Socket Security.
A Lazarus lançou uma ofensiva contra a Bybit, roubando quase US$ 1,46 bilhão
Além desses ataques à cadeia de suprimentos, o Lazarus Group também foi associado a um dos maiores roubos de criptomoedas da história. Suspeita-se que sua primeira ação tenha ocorrido em 21 de fevereiro de 2025, quando hackers ligados ao grupo invadiram a Bybit, uma das maiores corretoras de criptomoedas do mundo, levando consigo cerca de US$ 1,46 bilhão em criptoativos.
O ataque foi extremamente sofisticado e supostamente lançado a partir de um dispositivo comprometido de um funcionário da Safe{Wallet}, parceira tecnológica da Bybit. Os hackers exploraram uma vulnerabilidade na infraestrutura da carteira Ethereum da Bybit e alteraram a lógica dotracinteligente para redirecionar fundos para suas próprias carteiras.
Embora a Bybit tenha resolvido o problema imediatamente, uma declaração do CEO Ben Zhou revelou que 20% do dinheiro roubado já havia sido lavado por meio de serviços de mistura de moedas e era impossível trac .
Esta última série de ataques faz parte de um esforço mais amplo da Coreia do Norte para burlar as sanções internacionais impostas ao país, através do roubo e lavagem de criptomoedas.
Segundo um relatório das Nações Unidas de 2024, os cibercriminosos norte-coreanos foram responsáveis por mais de 35% dos roubos globais de criptomoedas no último ano, acumulando mais de US$ 1 bilhão em ativos roubados. O Grupo Lazarus não é apenas um sindicato do cibercrime, mas também uma ameaça geopolítica, visto que o dinheiro roubado é supostamente canalizado diretamente para os programas de armas nucleares e mísseis balísticos do país.
Os ataques do Lazarus Group também evoluíram ao longo dos anos, passando de invasões diretas a bolsas de valores para ataques à cadeia de suprimentos e até mesmo ataques a repositórios de software e de desenvolvedores.
Ao adicionar backdoors a plataformas de código aberto como npm, PyPI e GitHub, o grupo expande seu potencial de ataque para muitos sistemas, eliminando a necessidade de invadir diretamente as corretoras de criptomoedas.
Especialistas em segurança estão pedindo proteções mais rigorosas para desenvolvedores de criptomoedas
Percebendo esses riscos crescentes, especialistas em segurança cibernética estão pressionando por medidas de segurança mais rigorosas para desenvolvedores e usuários de criptomoedas, bem como por proteção contra hackers. Uma dessas boas práticas é verificar a autenticidade dos pacotes npm antes da instalação, pois o typosquatting continua sendo um dos métodos mais comuns utilizados por cibercriminosos.
O Socket AI Scanner também tracanomalias nas suas dependências de software ou na auditoria do npm, informando se algum pacote comprometido está em uso e permitindo que você o remova do seu aplicativo antes que ele cause danos reais.
O guia recomenda que usuários e desenvolvedores tomem a iniciativa de se proteger, habilitando a autenticação multifator (MFA) para carteiras de exchanges, plataformas de desenvolvedores como o GitHub e outras contas.
O monitoramento de rede é agora considerado a primeira linha de defesa, pois o sistema comprometido geralmente envia mensagens de volta para um servidor externo de comando e controle (C2), que então carrega as atualizações maliciosas no computador infectado. Bloquear o tráfego de saída ilegítimo pode impedir o acesso dos hackers a esses dados roubados.
Bybit lança programa de recompensas para recuperação de ativos em meio à intensificação da batalha pela segurança das criptomoedas
Após o ataque hacker à Bybit, a corretora também lançou um Programa de Recompensas por Recuperação, premiando qualquer pessoa que ajude a encontrar os ativos roubados. O programa oferece recompensas de até 10% do dinheiro recuperado.
Ao mesmo tempo, o ecossistema cripto em geral está empenhado em aprimorar as práticas de segurança e alertar os desenvolvedores para que se protejam contra as mesmas práticas que podem levar a esse caminho perigoso.
Mas, à medida que as táticas do Lazarus Group avançam cada vez mais rapidamente, os defensores da rede afirmam que a guerra contra as criptomoedas está apenas começando.
