El grupo Lazarus de Corea del Norte piratea a desarrolladores de software para atacar los monederos Solana y Exodus

• Lazarus Group tiene como objetivo a los usuarios de las carteras Solana y Exodus.
• El grupo es responsable del hackeo de Bybit y otros robos de criptomonedas de gran repercusión.

Lazarus Group, un grupo de hackers asociado con el régimen de Corea del Norte, ha vuelto a ser noticia. Una investigación reciente de Socket reveló que el grupo infiltró seis paquetes maliciosos en npm, dirigidos a desarrolladores de software y usuarios de criptomonedas.

Lazarus Group vinculado a un nuevo ataque informático

Según el informe de Socket Research, los seis paquetes maliciosos vinculados a Lazarus fueron descargados más de 330 veces. Estos paquetes estaban diseñados para robar credenciales de inicio de sesión, instalar puertas traseras y extraer datos confidenciales de carteras de criptomonedas relacionadas con Solana y Exodus.

La investigación señaló que las técnicas utilizadas en este ataque coinciden con las operaciones conocidas de Lazarus. El malware se enfocó específicamente en perfiles de navegadores como Chrome, Brave, Firefox y datos de llaveros en macOS.

Los seis paquetes maliciosos identificados son: is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency y auth-validator. Los investigadores indicaron que Lazarus utilizó typosquatting, una técnica que engaña a los desarrolladores con nombres de paquetes mal escritos para que los instalen.

Por ejemplo, is-buffer-validator se asemeja al módulo legítimo is-buffer, creado por Feross Aboukhadijeh, CEO de Socket. El paquete legítimo tiene 33 millones de descargas semanales y más de 134 millones de descargas totales, lo que demuestra su amplia adopción.

Lazarus ha utilizado previamente ataques a la cadena de suministro a través de GitHub, PyPI y npm para infiltrarse en redes. Estos métodos han contribuido a hackeos importantes, como el robo de 1.400 millones de dólares de la plataforma Bybit. Como se informó anteriormente, Lazarus robó 401.346 ETH de Bybit, valorados en 1.400 millones de dólares.

El ataque se produjo a través de una transacción enmascarada dirigida a la cartera fría multisig de Ethereum de Bybit. El CEO de Bybit, Ben Zhou, explicó que los atacantes mostraron una dirección y una URL @safe aparentemente legítimas, engañando a todos los firmantes. Aproximadamente el 20% de los fondos robados se volvieron ilocalizables debido al uso de servicios de mezcla por parte de los hackers.

Los usuarios de criptomonedas siguen siendo víctimas de hackers

El reciente ataque de Lazarus destaca la creciente vulnerabilidad del sector de las criptomonedas, donde incluso los expertos en ciberseguridad están en riesgo de caer en estas estafas sofisticadas.

En un estudio reciente sobre el que informamos, el FBI advirtió que los hackers norcoreanos están apuntando a la industria de las criptomonedas con ataques de ingeniería social bien elaborados. La agencia señaló que los atacantes se están enfocando en empleados de empresas DeFi, especialmente aquellos vinculados a emisores de ETF de Bitcoin al contado.

Estos incidentes subrayan la necesidad de actualizar los sistemas a versiones más seguras. Como se detalló en una publicación reciente, los hackers explotaron una vulnerabilidad en un contrato inteligente obsoleto de Fusion v1, drenando más de 5 millones de dólares en activos.

Antes de este ataque, las autoridades tailandesas arrestaron a cuatro ciudadanos rusos sospechosos de participar en un ciberataque global con el ransomware Phobos. A nivel mundial, casi 1.000 víctimas, incluidas 17 empresas suizas, han perdido alrededor de 16 millones de dólares en Bitcoin (BTC) debido a esta estafa.

Fuente