- Le Lazarus Group s’en prend aux utilisateurs des portefeuilles Solana et Exodus.
- Ce groupe de pirates est responsable du piratage de Bybit et d’autres vols de cryptomonnaies très médiatisés.
Le Lazarus Group, un groupe de pirates informatiques travaillant pour le régime gouvernemental nord-coréen, fait de nouveau parler de lui. Cette fois-ci, une nouvelle étude de Socket a révélé que le groupe avait placé six paquets malveillants dans npm, ciblant les développeurs de logiciels et les utilisateurs de crypto-monnaies.
Le groupe Lazarus lié à une attaque logicielle
Selon le rapport de Socket Research, les six paquets malveillants liés à Lazarus ont été téléchargés collectivement plus de 330 fois. Ces paquets ont été conçus pour voler les identifiants de connexion, déployer des portes dérobées et extraire des données sensibles des portefeuilles de crypto-monnaies liés à Solana ou à Exodus.
L’étude souligne que les techniques et les tactiques observées dans cette attaque npm s’alignent étroitement sur les opérations connues de Lazarus. Dans l’attaque récente, le logiciel malveillant cible spécifiquement les profils de navigateur, analysant les fichiers de Chrome, Brave, Firefox et les données des trousseaux de clés sur macOS.
Les six paquets malveillants sont is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency et auth-validator. Aussi, les chercheurs ont affirmé que Lazarus utilisait le typosquattage, en trompant les développeurs avec des noms mal orthographiés pour qu’ils les installent.
Par exemple, le module is-buffer-validator ressemble beaucoup au module is-buffer, largement utilisé, dont l’auteur est le PDG de Socket, Feross Aboukhadijeh. Le module is-buffer légitime compte 33 millions de téléchargements hebdomadaires et plus de 134 millions de téléchargements totaux, ce qui témoigne de sa large adoption.
En outre, Lazarus a déjà infiltré des réseaux en utilisant des attaques de la chaîne d’approvisionnement via GitHub, PyPI et npm. Cela a contribué à des piratages majeurs tels que le vol de la bourse Bybit, d’une valeur de 1,4 milliard de dollars. Comme nous l’avons indiqué dans notre dernier rapport, Lazarus a volé 401 346 ETH à Bybit, pour un montant de 1,4 milliard de dollars.
Le piratage a eu lieu à la suite d’une transaction masquée ciblant le cold wallet Ethereum multisig de l’échange. Le PDG de Bybit, Ben Zhou, a expliqué que le cold wallet de Bybit a exécuté un transfert vers son hot wallet, qui semblait initialement légitime.
Cependant, les attaquants ont masqué la transaction en affichant l’adresse correcte et une URL @safe apparemment authentique, trompant ainsi tous les signataires. M. Zhou a déclaré qu’environ 20 % des fonds volés étaient devenus intraçables en raison de l’utilisation de services de mélange par les pirates.
Les utilisateurs de cryptomonnaies perdent encore de l’argent à cause des piratages
L’attaque récente de Lazarus met en évidence la vulnérabilité croissante du secteur de la cryptographie, même les experts en cybersécurité étant menacés par ces stratagèmes complexes.
Dans une étude récente dont nous avons parlé, le FBI a déclaré que les pirates nord-coréens ciblent le secteur de la cryptographie avec des attaques d’ingénierie sociale bien dissimulées. L’agence a averti que les malfaiteurs se concentrent sur les employés des entreprises de finance de marché, en particulier ceux qui sont liés aux émetteurs d’ETF Bitcoin.
Ces événements rappellent au marché qu’il faut changer de système pour passer à des versions plus récentes et plus sûres. Comme nous l’avons souligné dans notre récent article de blog, des pirates ont exploité une vulnérabilité dans le contrat intelligent obsolète de Fusion v1, drainant plus de 5 millions de dollars d’actifs.
Avant cette attaque, les autorités chargées de l’application de la loi en Thaïlande ont arrêté quatre ressortissants russes soupçonnés d’avoir participé à une cyberattaque mondiale utilisant le ransomware Phobos. Près de 1 000 victimes dans le monde, dont 17 entreprises suisses, auraient été victimes de cette escroquerie. Collectivement, elles ont perdu environ 16 millions de dollars en bitcoins (BTC).
