El colectivo de hackers afiliado a Corea del Norte Lazarus Group ha estado moviendo criptoactivos utilizando mezcladores tras una serie de hackeos de alto perfil.
El 13 de marzo, la empresa de seguridad blockchain CertiK alertó a sus seguidores de X que había detectado un depósito de 400 ETH (ETH) valorado en unos 750.000 dólares en el servicio de mezclas Tornado Cash.
"El fondo tiene su origen en la actividad del grupo Lazarus en la red Bitcoin", señalaba.
El grupo de hackers de Corea del Norte fue responsable del hackeo masivo del exchange Bybit, que provocó el robo de criptoactivos valorados en 1.400 millones de dólares el 21 de febrero.
También se le ha relacionado con el hackeo de 29 millones de dólares del exchange Phemex en enero y ha estado lavando activos desde entonces.
Movimientos de criptoactivos del Grupo Lazarus. Fuente: Certik
Lazarus también ha estado vinculado a algunos de los incidentes de hackeo de criptomonedas más notorios, incluido el hackeo de la red Ronin de 600 millones de dólares en 2022.
Los hackers norcoreanos robaron más de 1.300 millones de dólares en criptoactivos en 47 incidentes en 2024, más del doble de los robos en 2023, según datos de Chainalysis.
Detectado un nuevo malware Lazarus
Según investigadores de la firma de ciberseguridad Socket, Lazarus Group ha desplegado seis nuevos paquetes maliciosos para infiltrarse en entornos de desarrolladores, robar credenciales, extraer datos de criptomonedas e instalar puertas traseras.
Su objetivo ha sido el ecosistema Node Package Manager (NPM), que es una gran colección de paquetes y bibliotecas de JavaScript.
Los investigadores descubrieron malware llamado "BeaverTail" incrustado en paquetes que imitan bibliotecas legítimas utilizando tácticas de typosquatting o métodos utilizados para engañar a los desarrolladores.
"A través de estos paquetes, Lazarus utiliza nombres que imitan estrechamente bibliotecas legítimas y ampliamente confiables", agregaron.
El malware también se dirige a monederos de criptomonedas, en concreto a monederos de Solana y Exodus, añadieron.
Fragmento de código que muestra los ataques al monedero Solana. Fuente: Socket
El ataque se dirige a archivos de los navegadores Google Chrome, Brave y Firefox, así como a datos de llaveros en macOS, y se dirige específicamente a desarrolladores que podrían instalar los paquetes maliciosos sin saberlo.
Los investigadores señalaron que atribuir definitivamente este ataque a Lazarus sigue siendo difícil; sin embargo, "las tácticas, técnicas y procedimientos observados en este ataque npm se alinean estrechamente con las operaciones conocidas de Lazarus".
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión