O grupo de hackers Lazarus, afiliado à Coreia do Norte, continua suas atividades ilícitas no setor de criptomoedas. Recentemente, o coletivo transferiu 400 ETH, equivalentes a cerca de 750.000 dólares, através do serviço de mistura Tornado Cash. Este método permite ocultar a origem dos fundos, tornando mais difícil o rastreamento das transações.
Summary
Lazarus recicla 400 ETH no Tornado Cash
A empresa de segurança blockchain CertiK detectou e relatou essa movimentação hoje mesmo. Segundo os especialistas, os fundos têm uma ligação direta com as atividades do grupo Lazarus na rede Bitcoin.
Lazarus é uma das organizações de hacking mais perigosas do setor crypto. O grupo é responsável pelo ataque à plataforma de troca Bybit, ocorrido em 21 de fevereiro, no qual foram subtraídos $1,4 bilhões em ativos digitais.
Não é o primeiro golpe atribuído ao grupo: em janeiro, surgiu a ligação de Lazarus a outro ataque, o do exchange Phemex, em que foram roubados 29 milhões de dólares. Desde os primeiros meses de 2024, os hackers norte-coreanos continuaram a reciclar capitais e a desenvolver novas ferramentas para atacar as plataformas crypto.
Ao longo dos anos, Lazarus foi considerado responsável por alguns dos maiores ataques na história das criptovalute. Entre eles, destaca-se o ataque de 600 milhões de dólares à rede Ronin em 2022. Segundo os dados da empresa de análise blockchain Chainalysis, em 2024 os hackers norte-coreanos roubaram mais de 1,3 bilhões de dólares em criptovalute através de 47 ataques cibernéticos, um dado que duplica o valor dos roubos ocorridos em 2023.
Novo malware para atacar os desenvolvedores
Além dos ataques contínuos aos exchanges, o grupo Lazarus começou a disseminar novas ferramentas de hacking para atingir desenvolvedores e carteiras de criptomoedas.
Os especialistas em cibersegurança da empresa Socket identificaram seis novos pacotes maliciosos projetados para se infiltrarem em ambientes de desenvolvimento, roubar credenciais e extrair informações críticas sobre criptomoedas. Esses softwares maliciosos também permitem a instalação de backdoor nos sistemas comprometidos, abrindo caminho para ataques adicionais.
Os hackers miraram no Node Package Manager (NPM), uma das bibliotecas mais utilizadas para o desenvolvimento de aplicações JavaScript. Para disseminar o malware, Lazarus utiliza uma técnica conhecida como typosquatting, que consiste em criar pacotes maliciosos com nomes muito semelhantes aos de bibliotecas legítimas.
Um dos malwares identificados, chamado “BeaverTail”, foi descoberto dentro desses pacotes falsificados. Uma vez instalado, BeaverTail é capaz de roubar fundos das carteiras de criptomoedas, com particular atenção às carteiras Solana e Exodus.
Mesmo os navegadores web mais utilizados, como Google Chrome, Brave e Firefox, estão dentro do alcance do ataque. Além disso, o malware atua nos sistemas macOS, visando os arquivos do keychain para acessar as credenciais de login e os dados sensíveis dos desenvolvedores.
Técnicas atribuídas a Lazarus
A atribuição definitiva desses novos ataques ao grupo Lazarus continua a ser um desafio para os especialistas em cibersegurança. No entanto, a metodologia adotada apresenta semelhanças com as técnicas utilizadas pelo coletivo no passado.
Os analistas da Socket destacaram que os métodos empregados nestes ataques informáticos coincidem com as estratégias conhecidas do grupo Lazarus. A combinação de typosquatting, ataques aos pacotes NPM e o direcionamento de desenvolvedores indica uma evolução nas modalidades operacionais do grupo.
Lazarus continua a desestabilizar o ecossistema crypto
O grupo Lazarus confirma-se como uma das ameaças mais perigosas para o setor das criptomoedas. A sua capacidade de se adaptar e desenvolver técnicas cada vez mais sofisticadas representa um sério risco para exchanges, desenvolvedores e usuários de crypto.
Os ataques cibernéticos conduzidos pelos hackers norte-coreanos não apenas causam perdas econômicas significativas, mas colocam em risco todo o ecossistema das moedas digitais. Com o uso de ferramentas de lavagem de dinheiro como Tornado Cash e a disseminação de malware avançado, Lazarus continua a escapar dos controles das autoridades de segurança globais.
Os especialistas em cibersegurança aconselham a adotar medidas de proteção eficazes para reduzir o risco de infecções e roubos digitais, como o monitoramento atento dos pacotes de software e o uso de ferramentas de segurança avançadas.
