Le groupe de hackers Lazarus, affilié à la Corée du Nord, continue ses activités illicites dans le secteur des cryptomonnaies. Récemment, le collectif a transféré 400 ETH, équivalents à environ 750.000 dollars, à travers le service de mixage Tornado Cash. Cette méthode permet de cacher l’origine des fonds, rendant plus difficile le suivi des transactions.
Summary
Lazarus recycle 400 ETH sur Tornado Cash
L’entreprise de sécurité blockchain CertiK a détecté et signalé ce mouvement aujourd’hui même. Selon les experts, les fonds ont un lien direct avec les activités du groupe Lazarus sur le réseau Bitcoin.
Lazarus est l’une des organisations de hacking les plus dangereuses du secteur crypto. Le groupe est responsable de l’attaque sur la plateforme d’échange Bybit, survenue le 21 février, où 1,4 milliard de dollars ont été dérobés en actifs numériques.
Ce n’est pas le premier coup attribué au groupe : en janvier, le lien de Lazarus avec une autre attaque, celle de l’exchange Phemex, a émergé, dans laquelle 29 millions de dollars ont été volés. Depuis les premiers mois de 2024, les hackers nord-coréens ont continué à recycler des capitaux et à développer de nouveaux outils pour attaquer les plateformes crypto.
Au fil des années, Lazarus a été tenu responsable de certains des plus grands attaques de l’histoire des criptovalute. Parmi ceux-ci, se distingue l’attaque de 600 millions de dollars contre le réseau Ronin en 2022. Selon les données de la société d’analyse blockchain Chainalysis, en 2024, les hackers nord-coréens ont dérobé plus de 1,3 milliard de dollars en criptovalute à travers 47 attaques informatiques, un chiffre qui double la valeur des vols survenus en 2023.
Nouveau malware pour attaquer les développeurs
En plus des attaques continues contre les échanges, le groupe Lazarus a commencé à diffuser de nouveaux outils de piratage pour cibler les développeurs et les portefeuilles de cryptomonnaies.
Les experts en cybersécurité de la société Socket ont identifié six nouveaux paquets malveillants conçus pour s’infiltrer dans les environnements de développement, voler des identifiants et dérober des informations critiques sur les cryptomonnaies. Ces logiciels malveillants permettent également d’installer des backdoor dans les systèmes compromis, ouvrant la voie à d’autres attaques.
Les hackers ont ciblé le Node Package Manager (NPM), l’une des bibliothèques les plus utilisées pour le développement d’applications JavaScript. Pour diffuser le malware, Lazarus utilise une technique connue sous le nom de typosquatting, qui consiste à créer des paquets malveillants avec des noms très similaires à ceux de bibliothèques légitimes.
Un des malwares identifiés, appelé “BeaverTail”, a été découvert à l’intérieur de ces paquets contrefaits. Une fois installé, BeaverTail est capable de soustraire des fonds des portefeuilles de cryptomonnaies, avec une attention particulière aux portefeuilles Solana et Exodus.
Même les navigateurs web les plus utilisés, comme Google Chrome, Brave et Firefox, sont dans le champ d’action de l’attaque. De plus, le malware agit sur les systèmes macOS, ciblant les fichiers du keychain pour accéder aux identifiants de connexion et aux données sensibles des développeurs.
Techniques attribuées à Lazarus
L’attribution définitive de ces nouvelles attaques au groupe Lazarus reste un défi pour les experts en cybersécurité. Cependant, la méthodologie adoptée présente des similitudes avec les techniques utilisées par le collectif dans le passé.
Les analystes de Socket ont souligné que les méthodes employées dans ces cyberattaques coïncident avec les stratégies connues du groupe Lazarus. La combinaison de typosquatting, d’attaques sur les paquets NPM et de ciblage des développeurs indique une évolution dans les modes opératoires du groupe.
Lazarus continue à déstabiliser l’écosystème crypto
Le groupe Lazarus se confirme comme l’une des menaces les plus dangereuses pour le secteur des cryptomonnaies. Sa capacité à s’adapter et à développer des techniques de plus en plus sophistiquées représente un grave risque pour les exchanges, les développeurs et les utilisateurs crypto.
Les attaques informatiques menées par les hackers nord-coréens ne causent pas seulement des pertes économiques importantes, mais mettent en danger l’ensemble de l’écosystème des monnaies numériques. Avec l’utilisation d’outils de blanchiment comme Tornado Cash et la diffusion de logiciels malveillants avancés, Lazarus continue d’échapper aux contrôles des autorités de sécurité mondiales.
Les experts en cybersécurité conseillent d’adopter des mesures de protection efficaces pour réduire le risque d’infections et de vols numériques, comme la surveillance attentive des paquets logiciels et l’utilisation d’outils de sécurité avancés.
