De hacker groep Lazarus, gelieerd aan Noord-Korea, zet zijn illegale activiteiten in de cryptovaluta sector voort. Onlangs heeft het collectief 400 ETH, gelijk aan ongeveer 750.000 dollar, overgedragen via de mixdienst Tornado Cash. Deze methode maakt het mogelijk om de oorsprong van de fondsen te verbergen, waardoor het moeilijker wordt om de transacties te traceren.
Summary
Lazarus wit 400 ETH via Tornado Cash
Het blockchain-beveiligingsbedrijf CertiK heeft deze beweging vandaag opgemerkt en gerapporteerd. Volgens de experts hebben de fondsen een directe link met de activiteiten van de Lazarus-groep op het Bitcoin-netwerk.
Lazarus is een van de gevaarlijkste hackingorganisaties in de crypto-industrie. De groep is verantwoordelijk voor de aanval op het handelsplatform Bybit, dat plaatsvond op 21 februari, waarbij $1,4 miljard aan digitale activa werd gestolen.
Het is niet de eerste slag die aan de groep wordt toegeschreven: in januari kwam de link van Lazarus naar voren met een andere aanval, die van de exchange Phemex, waarbij 29 miljoen dollar werd gestolen. Vanaf de eerste maanden van 2024 hebben de Noord-Koreaanse hackers kapitaal blijven witwassen en nieuwe tools ontwikkeld om crypto-platforms aan te vallen.
In de loop der jaren is Lazarus verantwoordelijk gehouden voor enkele van de grootste aanvallen in de geschiedenis van de criptovalute. Onder deze aanvallen valt de aanval van 600 miljoen dollar op het Ronin-netwerk in 2022 op. Volgens gegevens van het blockchain-analysebedrijf Chainalysis hebben Noord-Koreaanse hackers in 2024 meer dan 1,3 miljard dollar in criptovalute gestolen via 47 cyberaanvallen, een cijfer dat de waarde van de diefstallen in 2023 verdubbelt.
Nieuwe malware om ontwikkelaars aan te vallen
Naast de voortdurende aanvallen op de exchanges, is de Lazarus-groep begonnen met het verspreiden van nieuwe hackingtools om ontwikkelaars en cryptocurrency-portefeuilles aan te vallen.
De cybersecurity-experts van het bedrijf Socket hebben zes nieuwe kwaadaardige pakketten geïdentificeerd die zijn ontworpen om ontwikkelomgevingen binnen te dringen, inloggegevens te stelen en kritieke informatie over cryptocurrencies te ontvreemden. Deze kwaadaardige software maakt het ook mogelijk om backdoor in gecompromitteerde systemen te installeren, waardoor de weg wordt vrijgemaakt voor verdere aanvallen.
De hackers hebben zich gericht op de Node Package Manager (NPM), een van de meest gebruikte bibliotheken voor de ontwikkeling van JavaScript-applicaties. Om de malware te verspreiden, gebruikt Lazarus een techniek die bekend staat als typosquatting, waarbij schadelijke pakketten worden gemaakt met namen die sterk lijken op die van legitieme bibliotheken.
Een van de geïdentificeerde malware, genaamd “BeaverTail”, werd ontdekt binnen deze vervalste pakketten. Eenmaal geïnstalleerd, is BeaverTail in staat om fondsen uit cryptocurrency-wallets te stelen, met bijzondere aandacht voor de portefeuilles Solana en Exodus.
Ook de meest gebruikte webbrowsers, zoals Google Chrome, Brave en Firefox, vallen binnen het bereik van de aanval. Bovendien werkt de malware op macOS-systemen, waarbij het zich richt op de bestanden van de keychain om toegang te krijgen tot inloggegevens en gevoelige gegevens van ontwikkelaars.
Technieken die terug te voeren zijn op Lazarus
De definitieve toewijzing van deze nieuwe aanvallen aan de groep Lazarus blijft een uitdaging voor cybersecurity-experts. De gehanteerde methodologie vertoont echter overeenkomsten met de technieken die het collectief in het verleden heeft gebruikt.
De analisten van Socket hebben benadrukt dat de methoden die in deze cyberaanvallen worden gebruikt, samenvallen met de bekende strategieën van de Lazarus-groep. De combinatie van typosquatting, aanvallen op NPM-pakketten en het targeten van ontwikkelaars duidt op een evolutie in de operationele methoden van de groep.
Lazarus blijft het crypto-ecosysteem destabiliseren
De Lazarus-groep blijft een van de gevaarlijkste bedreigingen voor de cryptovaluta-sector. Hun vermogen om zich aan te passen en steeds geavanceerdere technieken te ontwikkelen, vormt een ernstig risico voor exchanges, ontwikkelaars en crypto-gebruikers.
De cyberaanvallen uitgevoerd door Noord-Koreaanse hackers veroorzaken niet alleen enorme economische verliezen, maar brengen het hele ecosysteem van digitale valuta in gevaar. Met het gebruik van witwasinstrumenten zoals Tornado Cash en de verspreiding van geavanceerde malware, blijft Lazarus de controles van wereldwijde veiligheidsautoriteiten ontwijken.
Cybersecurity-experts adviseren om effectieve beschermingsmaatregelen te nemen om het risico op digitale infecties en diefstallen te verminderen, zoals het zorgvuldig monitoren van softwarepakketten en het gebruik van geavanceerde beveiligingshulpmiddelen.
