Il gruppo di hacker Lazarus, affiliato alla Corea del Nord, continua le sue attività illecite nel settore delle criptovalute. Recentemente, il collettivo ha trasferito 400 ETH, equivalenti a circa 750.000 dollari, attraverso il servizio di miscelazione Tornado Cash. Questo metodo consente di nascondere l’origine dei fondi, rendendo più difficile il tracciamento delle transazioni.
Summary
Lazarus ricicla 400 ETH su Tornado Cash
L’azienda di sicurezza blockchain CertiK ha rilevato e segnalato questa movimentazione proprio oggi. Secondo gli esperti, i fondi hanno un collegamento diretto alle attività del gruppo Lazarus sulla rete Bitcoin.
Lazarus è una delle organizzazioni di hacking più pericolose del settore crypto. Il gruppo è responsabile dell’attacco alla piattaforma di scambio Bybit, avvenuto il 21 febbraio, in cui sono stati sottratti $1,4 miliardi in asset digitali.
Non è il primo colpo attribuito al gruppo: a gennaio è emerso il collegamento di Lazarus a un altro attacco, quello dell’exchange Phemex, in cui sono stati rubati 29 milioni di dollari. Fin dai primi mesi del 2024, gli hacker nordcoreani hanno continuato a riciclare capitali e a sviluppare nuovi strumenti per attaccare le piattaforme crypto.
Nel corso degli anni, Lazarus è stato ritenuto responsabile di alcuni dei più grandi attacchi nella storia delle criptovalute. Tra questi, spicca l’attacco da 600 milioni di dollari alla rete Ronin nel 2022. Secondo i dati della società di analisi blockchain Chainalysis, nel 2024 gli hacker nordcoreani hanno sottratto oltre 1,3 miliardi di dollari in criptovalute attraverso 47 attacchi informatici, un dato che raddoppia il valore delle sottrazioni avvenute nel 2023.
Nuovo malware per attaccare gli sviluppatori
Oltre ai continui attacchi agli exchange, il gruppo Lazarus ha iniziato a diffondere nuovi strumenti di hacking per colpire sviluppatori e portafogli di criptovalute.
Gli esperti di cybersicurezza della società Socket hanno individuato sei nuovi pacchetti maligni progettati per infiltrarsi negli ambienti di sviluppo, rubare credenziali e sottrarre informazioni critiche sulle criptovalute. Questi software malevoli consentono inoltre di installare backdoor nei sistemi compromessi, aprendo la strada a ulteriori attacchi.
Gli hacker hanno preso di mira il Node Package Manager (NPM), una delle librerie più utilizzate per lo sviluppo di applicazioni JavaScript. Per diffondere il malware, Lazarus utilizza una tecnica nota come typosquatting, che consiste nel creare pacchetti dannosi con nomi molto simili a quelli di librerie legittime.
Uno dei malware identificati, chiamato “BeaverTail”, è stato scoperto all’interno di questi pacchetti contraffatti. Una volta installato, BeaverTail è in grado di sottrarre fondi dai wallet di criptovalute, con particolare attenzione ai portafogli Solana ed Exodus.
Anche i browser web più utilizzati, come Google Chrome, Brave e Firefox, rientrano nel raggio d’azione dell’attacco. Inoltre, il malware agisce sui sistemi macOS, prendendo di mira i file del keychain per accedere alle credenziali di accesso e ai dati sensibili degli sviluppatori.
Tecniche riconducibili a Lazarus
L’attribuzione definitiva di questi nuovi attacchi al gruppo Lazarus resta una sfida per gli esperti di cybersicurezza. Tuttavia, la metodologia adottata presenta similià con le tecniche utilizzate dal collettivo in passato.
Gli analisti di Socket hanno sottolineato che i metodi impiegati in questi attacchi informatici coincidono con le strategie note del gruppo Lazarus. La combinazione di typosquatting, attacchi ai pacchetti NPM e targeting di sviluppatori indica un’evoluzione nelle modalità operative del gruppo.
Lazarus continua a destabilizzare l’ecosistema crypto
Il gruppo Lazarus si conferma una delle minacce più pericolose per il settore delle criptovalute. La sua capacità di adattarsi e sviluppare tecniche sempre più sofisticate rappresenta un grave rischio per exchange, sviluppatori e utenti crypto.
Gli attacchi informatici condotti dagli hacker nordcoreani non solo causano perdite economiche ingenti, ma mettono a rischio l’intero ecosistema delle valute digitali. Con l’uso di strumenti di riciclaggio come Tornado Cash e la diffusione di malware avanzati, Lazarus continua a sfuggire ai controlli delle autorità di sicurezza globali.
Gli esperti di cybersicurezza consigliano di adottare misure di protezione efficaci per ridurre il rischio di infezioni e furti digitali, come il monitoraggio attento dei pacchetti software e l’utilizzo di strumenti di sicurezza avanzati.
