- Lazarus Group menargetkan pengguna dompet Solana dan Exodus.
- Kelompok peretas ini bertanggung jawab atas peretasan Bybit dan pencurian kripto tingkat tinggi lainnya.
Lazarus Group, sekelompok peretas yang bekerja untuk rezim pemerintah Korea Utara, kembali menjadi berita. Kali ini, penelitian baru dari Socket menemukan bahwa kelompok ini telah menanam enam paket berbahaya di npm, yang menargetkan para pengembang perangkat lunak dan pengguna mata uang kripto.
Kelompok Lazarus Terkait dengan Serangan Perangkat Lunak
Menurut laporan dari Socket Research, enam paket berbahaya yang terkait dengan Lazarus secara kolektif telah diunduh lebih dari 330 kali. Paket-paket ini dirancang untuk mencuri kredensial login, menggunakan pintu belakang, dan mengekstrak data sensitif dari dompet kripto yang berhubungan dengan Solana atau Exodus.
Penelitian ini menunjukkan bahwa teknik dan taktik yang diamati dalam serangan npm ini sangat sesuai dengan operasi Lazarus yang telah diketahui. Dalam serangan baru-baru ini, malware secara khusus menargetkan profil browser, memindai file dari Chrome, Brave, Firefox, dan data keychain di macOS.
Keenam paket berbahaya itu adalah is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency, dan auth-validator. Para peneliti mengklaim bahwa Lazarus menggunakan typosquatting, mengelabui para pengembang dengan nama-nama yang salah eja untuk menginstalnya.
Sebagai contoh, is-buffer-validator sangat mirip dengan modul is-buffer yang banyak digunakan yang ditulis oleh CEO Socket, Feross Aboukhadijeh. Paket is-buffer yang sah memiliki 33 juta unduhan mingguan dan lebih dari 134 juta unduhan total, menyoroti pengadopsiannya secara luas.
Selain itu, Lazarus sebelumnya menyusup ke jaringan menggunakan serangan rantai pasokan melalui GitHub, PyPI, dan npm. Hal ini telah berkontribusi pada peretasan besar seperti pencurian bursa Bybit senilai US$1,4 miliar. Seperti yang kami bahas dalam laporan terbaru kami, Lazarus mencuri 401.346 ETH dari Bybit, senilai US$1,4 miliar.
Peretasan tersebut berasal dari transaksi terselubung yang menargetkan dompet dingin multisig Ethereum bursa. CEO Bybit, Ben Zhou, menjelaskan bahwa cold wallet Bybit mengeksekusi transfer ke hot wallet-nya, yang pada awalnya tampak sah.
Namun, para penyerang menutupi transaksi tersebut, menampilkan alamat yang benar dan URL @safe yang tampaknya otentik, menipu semua penandatangan. Zhou mengatakan bahwa sekitar 20% dari dana yang dicuri tidak dapat dilacak karena peretas menggunakan layanan pencampuran.
Pengguna Kripto Masih Kehilangan Uang Karena Peretasan
Serangan Lazarus baru-baru ini menyoroti meningkatnya kerentanan sektor kripto, bahkan para ahli keamanan siber pun terancam oleh skema yang rumit ini.
Dalam sebuah penelitian terbaru yang kami laporkan, FBI mengatakan bahwa para peretas Korea Utara menargetkan industri kripto dengan serangan rekayasa sosial yang terselubung. Badan ini memperingatkan bahwa para pemain jahat berfokus pada karyawan perusahaan DeFi, terutama yang terkait dengan penerbit ETF Bitcoin.
Peristiwa ini mengingatkan pasar untuk mengubah sistem ke versi yang lebih baru dan lebih aman. Seperti yang diuraikan dalam posting blog kami baru-baru ini, peretas mengeksploitasi kerentanan dalam kontrak pintar Fusion v1 yang sudah ketinggalan zaman, menguras lebih dari US$5 juta aset.
Sebelum serangan ini, otoritas penegak hukum di Thailand menangkap empat warga negara Rusia karena dicurigai berpartisipasi dalam serangan siber di seluruh dunia menggunakan ransomware Phobos. Di seluruh dunia, hampir 1.000 korban, termasuk 17 bisnis Swiss, dilaporkan telah menjadi korban penipuan. Secara kolektif, mereka telah kehilangan sekitar US$16 juta dalam bentuk Bitcoin (BTC).
