Группа Lazarus связана с отмыванием $750,000 в Ethereum

Группа Лазарь, хакерский коллектив, связанный с Северной Кореей, усилила свою киберактивность, став причиной двух новых громких инцидентов.

13 марта компания по обеспечению безопасности блокчейна CertiK сообщила, что группа внесла 400 Ethereum (ETH), стоимостью около 750 000 долларов, в миксер Tornado Cash — инструмент, используемый для скрытия источника происхождения криптоактивов.

#CertiKInsight 🚨

Мы обнаружили внесение депозита в размере 400 ETH на https://t.co/0lwPdz0OWi в сети Ethereum от:
0xdB31a812261d599A3fAe74Ac44b1A2d4e5d00901
0xB23D61CeE73b455536EF8F8f8A5BadDf8D5af848.

Фонд отслеживает активность группы Лазаря в сети Bitcoin.

Будьте бдительны! pic.twitter.com/IHwFwt5uQs

— CertiK Alert (@CertiKAlert) 13 марта 2025

Данное действие было связано с их предыдущей активностью в сети Bitcoin, что подчеркивает продолжающиеся усилия группы по отмыванию денег после громких хакерских атак.

Группа Lazarus прославилась своим участием в крупных кражах криптовалют, включая хакерскую атаку на Bybit в феврале 2025 года, в результате которой было похищено $1,4 миллиарда, а также кражу $29 миллионов у Phemex в январе, как отмечает CoinTelegraph.

Согласно аналитической компании, специализирующейся на блокчейне Chainalysis, Lazarus украл более $1,3 миллиарда в криптоактивов только в 2024 году, что в два раза превышает уровень краж 2023 года.

Тем временем, исследователи в области кибербезопасности из Socket обнаружили новую волну вредоносных пакетов, нацеленных на экосистему npm, которую разработчики используют для управления библиотеками JavaScript.

Шесть вредоносных пакетов, загруженных более 330 раз, были обнаружены с встроенным видом вредоносного ПО, известным как BeaverTail. Эти пакеты имитируют законные библиотеки с помощью обманчивой тактики под названием «typosquatting», когда незначительные вариации в названиях используются для того, чтобы обмануть разработчиков и заставить их установить вредоносный код.

Исследователи Socket заметили, что тактика, техника и процедуры в этой атаке npm тесно совпадают с известными операциями Lazarus. Пакеты были разработаны для кражи конфиденциальной информации, включая учетные данные и данные о криптовалюте, а также для развертывания «задних дверей» в зараженных системах.

В частности, они нацелились на файлы в браузерах, таких как Chrome, Brave и Firefox, и данные цепочки ключей на macOS, сосредоточив внимание на разработчиках, которые могут не заметить вредоносное ПО во время установки.

Эта атака подчеркивает продолжающееся использование Лазарусом сложных методов внедрения, используя заслуживающие доверия имена в реестре npm для эксплуатации открытого сообщества разработчиков. Несмотря на использованные техники обфускации, исследователи смогли обнаружить злонамеренные намерения и отметили пакеты для удаления.

Поскольку Лазарус продолжает свою киберпреступную деятельность, эксперты предупреждают, что организациям необходимо принять более строгие меры безопасности, такие как автоматизированный аудит кода и сканирование зависимостей, чтобы предотвратить подобные атаки.