Известная северокорейская хакерская группировка Lazarus Group осуществила новые кибератаки на криптовалюты, все чаще сосредотачиваясь на разработчиках.
За последние несколько месяцев исследователи в области безопасности обнаружили, что эта группа занималась саботажем вредоносных пакетов npm, которые крадутdentданные, похищают данные криптовалютных кошельков и создают постоянный бэкдор в средах разработки. Это знаменует собой серьезную эскалацию их многолетней кибервойны, в ходе которой уже произошли одни из крупнейших ограблений криптовалютных кошельков в истории.
Согласно новому расследованию исследовательской группы Socket Research Team , подразделение Lazarus Group взломало репозиторий npm, один из самых популярных менеджеров пакетов для разработчиков JavaScript.
Затем хакеры использовали методы тайпсквоттинга для публикации вредоносных версий популярных пакетов npm, обманывая ничего не подозревающих разработчиков и заставляя их скачивать эти программы. В число этих пакетов входят is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency и auth-validator.
При запуске скомпрометированные пакеты устанавливают вредоносное ПО BeaverTail. Этот «продвинутый» инструмент может крастьdentданные для входа в систему, искать сохраненные пароли в файлах браузера и извлекать файлы из криптовалютных кошельков, таких как Solana и Exodus.
Исследователи в области безопасности отметили, что украденные данные были отправлены на жестко закодированный сервер управления и контроля (C2), что является распространенным методом работы, используемым группой Lazarus для передачиdentданных обратно своим сообщникам.
Его цель — кража и передача скомпрометированных данных без обнаружения, и он представлял особую угрозу для разработчиков финансовых и блокчейн-приложений, говорит Кирилл Бойченко, аналитик по угрозам в Socket Security.
Компания Lazarus начала наступление на Bybit, украв почти 1,46 миллиарда долларов
Помимо этих атак на цепочку поставок, Lazarus Group также причастна к одной из крупнейших краж криптовалюты в истории. Предполагается, что первое её действие произошло 21 февраля 2025 года, когда группа хакеров взломала Bybit, одну из крупнейших в мире криптовалютных бирж, и похитила криптовалютные активы на сумму около 1,46 миллиарда долларов.
Атака была чрезвычайно изощренной и, предположительно, была совершена с взломанного устройства сотрудника Safe{Wallet}, технологического партнера Bybit. Хакеры использовали уязвимость в инфраструктуре Ethereum кошелька Bybit и изменили логику смарт-tracдля перенаправления средств на свои кошельки.
Хотя компания Bybit незамедлительно отреагировала на проблему, в заявлении генерального директора Бена Чжоу сообщалось, что 20% украденных денег уже были отмыты с помощью сервисов смешивания криптовалюты и trac удалось.
Эта последняя серия атак является частью более масштабных усилий Северной Кореи по обходу международных санкций путем кражи и отмывания криптовалюты.
Согласно докладу ООН за 2024 год, северокорейские киберпреступники несут ответственность за более чем 35% краж криптовалюты в мире за последний год, накопив более 1 миллиарда долларов украденных активов. Группа Lazarus — это не просто киберпреступный синдикат, но и геополитическая угроза, поскольку, как сообщается, украденные деньги напрямую направляются на программы страны по созданию ядерного оружия и баллистических ракет.
За прошедшие годы атаки группы Lazarus Group развились от прямых взломов бирж до атак на цепочки поставок и даже атак на разработчиков и репозитории программного обеспечения.
Добавляя бэкдоры в платформы с открытым исходным кодом, такие как npm, PyPI и GitHub, группа расширяет свой потенциальный диапазон атак на множество систем, устраняя необходимость прямого взлома криптовалютных бирж.
Эксперты по безопасности призывают к ужесточению защиты разработчиков криптовалют
Учитывая растущие риски, специалисты по кибербезопасности настаивают на ужесточении мер защиты для разработчиков и пользователей криптовалют, а также на защите от хакеров. Одной из таких передовых практик является проверка подлинности npm-пакетов перед установкой, поскольку тайпсквоттинг остается одним из наиболее распространенных методов, используемых киберпреступниками.
Socket AI Scanner также tracаномалии в зависимостях вашего программного обеспечения или выполняет аудит npm, что позволяет определить, используются ли какие-либо скомпрометированные пакеты, и удалить их из вашего приложения до того, как они смогут нанести реальный ущерб.
В руководстве рекомендуется, чтобы пользователи и разработчики проявили инициативу и защитили себя, включив многофакторную аутентификацию (МФА) для кошельков бирж, платформ разработчиков, таких как GitHub, и других учетных записей.
В настоящее время мониторинг сети считается первой линией защиты, поскольку скомпрометированная система обычно отправляет сообщения на внешний сервер управления и контроля (C2), который затем загружает вредоносные обновления на зараженный компьютер. Блокировка нелегального исходящего трафика может ограничить доступ хакеров к украденным данным.
Компания Bybit запускает программу вознаграждения за возврат средств на фоне обострения борьбы за безопасность криптовалют
После взлома Bybit биржа также запустила программу вознаграждения за возвращение украденных активов. В рамках программы предусмотрено вознаграждение в размере до 10% от возвращенных средств.
В то же время, более широкая криптоэкосистема активно наращивает меры безопасности и предупреждает разработчиков о необходимости защиты от тех же самых действий, которые могут привести к этой опасной ситуации.
Однако, поскольку тактика Lazarus Group развивается все быстрее, защитники криптовалютных сетей утверждают, что война против криптовалют только начинается.
