Il Lazarus Group, collettivo di hacker affiliato alla Corea del Nord, ha spostato crypto asset utilizzando i mixer a seguito di una serie di hack di alto profilo. 

Il 13 marzo, la società di sicurezza blockchain CertiK ha avvisato i suoi follower su X di aver individuato un deposito di 400 ETH (ETH) del valore di circa 750.000 $ presso il servizio di mixing Tornado Cash. 

“Il fondo è riconducibile all'attività del Lazarus group sulla rete Bitcoin”, ha osservato la società. 

Il gruppo di hacker nordcoreano è stato responsabile del massiccio hack dell'exchange Bybit che ha portato al furto di 1,4 miliardi di dollari in crypto asset il 21 febbraio scorso. 

È stato anche collegato all'hacking dell'exchange Phemex, avvenuto a gennaio per un valore di 29 milioni di dollari, e da allora sta riciclando asset. 

Movimenti di crypto asset del Lazarus Group. Fonte: Certik 

Lazarus è stato anche collegato ad alcuni dei più noti episodi di crypto hacking, tra cui l'hack della rete Ronin da 600 milioni di dollari nel 2022.

Secondo i dati di Chainalysis, nel 2024 gli hacker nordcoreani hanno rubato oltre 1,3 miliardi di dollari in crypto asset in 47 incidenti, più che raddoppiando i furti del 2023.

Rilevato un nuovo malware di Lazarus

Secondo i ricercatori della società di cybersicurezza Socket, il Lazarus Group ha distribuito sei nuovi pacchetti dannosi per infiltrarsi negli ambienti degli sviluppatori, rubare credenziali, estrarre dati sulle criptovalute e installare backdoor. 

Ha preso di mira l'ecosistema Node Package Manager (NPM), che è un'ampia raccolta di pacchetti e librerie JavaScript.

I ricercatori hanno scoperto un malware chiamato “BeaverTail” incorporato in pacchetti che imitano librerie legittime utilizzando tattiche di typosquatting o metodi usati per ingannare gli sviluppatori. 

“In tutti questi pacchetti, Lazarus utilizza nomi che imitano fedelmente librerie legittime e ampiamente affidabili”, hanno aggiunto. 

Correlato: Dentro la strategia di riciclaggio del Lazarus Group

Il malware prende di mira anche i crypto wallet, in particolare i wallet Solana ed Exodus. 

Codice che mostra gli attacchi al wallet Solana. Fonte: Socket

L'attacco prende di mira i file dei browser Google Chrome, Brave e Firefox, nonché i dati del keychain su macOS, rivolgendosi in particolare agli sviluppatori che potrebbero installare inconsapevolmente i pacchetti dannosi.

I ricercatori hanno osservato che l'attribuzione definitiva di questo attacco a Lazarus rimane difficile; tuttavia, “le tattiche, le tecniche e le procedure osservate in questo attacco npm si allineano strettamente con le operazioni note di Lazarus”.