Nhóm Lazarus Chuyển 400 ETH đến Tornado Cash và Triển Khai Phần Mềm Độc Hại Mới
Nhóm Lazarus liên kết với Triều Tiên tiếp tục rửa tiền điện tử và nhắm vào các nhà phát triển với các chủng phần mềm độc hại mới được thiết kế để đánh cắp tài sản tiền điện tử.
Nhóm Lazarus, một tập đoàn hack liên kết với Triều Tiên, đã tích cực rửa tiền điện tử thông qua các mixer sau một loạt các cuộc tấn công mạng nổi bật.
Vào ngày 13 tháng 3, một công ty bảo mật blockchain đã phát hiện một khoản tiền gửi 400 ETH, có giá trị khoảng 750.000 đô la, vào dịch vụ mixer Tornado Cash. Các khoản tiền này được truy tìm về hoạt động của Nhóm Lazarus trên mạng Bitcoin.
Nhóm này đứng sau vụ hack sàn giao dịch Bybit lớn dẫn đến việc đánh cắp 1,4 tỷ đô la tiền điện tử vào ngày 21 tháng 2. Họ cũng đã được liên kết với vụ hack sàn giao dịch Phemex trị giá 29 triệu đô la vào tháng 1 và đã rửa các tài sản bị đánh cắp kể từ đó.
Chuyển động tài sản tiền điện tử của Nhóm Lazarus. Nguồn: Certik
Lazarus đã bị liên lụy trong nhiều vụ hack tiền điện tử nổi tiếng, bao gồm vụ hack mạng Ronin trị giá 600 triệu đô la vào năm 2022.
Trong năm 2024, các hacker Triều Tiên đã đánh cắp hơn 1,3 tỷ đô la tiền điện tử qua 47 vụ việc, nhiều hơn đáng kể so với năm trước, theo dữ liệu từ Chainalysis.
Phát Hiện Phần Mềm Độc Hại Mới Của Lazarus
Các nhà nghiên cứu bảo mật mạng đã xác định sáu gói phần mềm độc hại mới được triển khai bởi Nhóm Lazarus, nhằm xâm nhập vào môi trường phát triển, đánh cắp thông tin đăng nhập, trích xuất dữ liệu tiền điện tử và cài đặt cửa hậu.
Nhóm này đã nhắm vào hệ sinh thái Node Package Manager (NPM), nơi chứa một loạt các gói và thư viện JavaScript.
Các nhà nghiên cứu đã phát hiện ra phần mềm độc hại có tên "BeaverTail" ẩn trong các gói giống hệt các thư viện hợp pháp, sử dụng chiến thuật typosquatting để đánh lừa các nhà phát triển.
"Trong các gói này, Lazarus sử dụng tên gọi giống hệt các thư viện hợp pháp và được tin tưởng rộng rãi," các nhà nghiên cứu lưu ý.
Phần mềm độc hại cũng tập trung vào ví tiền điện tử, đặc biệt là ví Solana và Exodus.
Đoạn mã cho thấy các cuộc tấn công ví Solana. Nguồn: Socket
Cuộc tấn công nhắm vào các tệp trong trình duyệt Google Chrome, Brave và Firefox, cũng như dữ liệu keychain trên macOS, cụ thể nhắm vào các nhà phát triển có thể vô tình cài đặt các gói phần mềm độc hại này.
Mặc dù việc quy kết trực tiếp cuộc tấn công cho Lazarus vẫn còn khó khăn, các chiến thuật, kỹ thuật và quy trình quan sát được trong cuộc tấn công npm này phù hợp chặt chẽ với các hoạt động đã biết của Lazarus, theo các nhà nghiên cứu.
Theo Cointelegraph
Tin khác
