Puntos clave de la Noticia
- La firma de seguridad CertiK detectó el movimiento de estos fondos provenientes de actividades ilícitas atribuidas al grupo de hackers norcoreano.
- Se han identificado seis paquetes maliciosos en el ecosistema NPM con el objetivo de robar credenciales y extraer información cripto.
- Los métodos empleados siguen la línea de ataques previos, lo que confirma la evolución constante de sus operaciones en el ecosistema cripto.
La firma de seguridad blockchain CertiK ha alertado sobre un nuevo movimiento financiero vinculado al Lazarus Group, el infame colectivo de hackers asociado a Corea del Norte. Se detectó un depósito de 400 ETH, valorado en aproximadamente 750.000 dólares, en Tornado Cash, un mezclador de criptomonedas que permite ocultar el rastro de los fondos.
Este grupo es responsable de algunos de los mayores robos en la historia de las criptomonedas, incluyendo el ataque a la plataforma de intercambio Bybit el pasado 21 de febrero, donde lograron sustraer 1.400 millones de dólares en activos digitales. También se les vincula con el hackeo de Phemex en enero de 2024, en el que se perdieron 29 millones de dólares.
A lo largo de los años, Lazarus ha sido acusado de perpetrar los ciberataques más grandes en la industria cripto, incluyendo el robo de 600 millones de dólares de la red Ronin en 2022. Datos de la firma Chainalysis revelan que en 2024 los hackers norcoreanos han robado más de 1.300 millones de dólares en 47 ataques, duplicando las cifras de 2023.
Nuevo Malware Dirigido a Desarrolladores
Más allá de los ataques directos a exchanges, Lazarus ha desplegado herramientas de hacking especializadas para atacar a desarrolladores y usuarios de criptomonedas. Investigadores de la firma de ciberseguridad Socket han identificado seis nuevos paquetes maliciosos diseñados para infiltrarse en entornos de desarrollo, robar credenciales y extraer información cripto.
Estos paquetes maliciosos están dirigidos al ecosistema de Node Package Manager (NPM), una de las bibliotecas más utilizadas en el desarrollo de aplicaciones JavaScript. Lazarus emplea una técnica conocida como «typosquatting», donde crean paquetes con nombres similares a bibliotecas populares para engañar a los desarrolladores.
Uno de los malware identificados, «BeaverTail», está diseñado para robar fondos de wallets de criptomonedas, con un enfoque particular en las billeteras de Solana y Exodus. También se ha detectado su acción en navegadores como Google Chrome, Brave y Firefox, así como en archivos clave de macOS, permitiendo la extracción de credenciales y datos sensibles de los desarrolladores.
Lazarus Sigue Perfeccionando Sus Técnicas
Aunque la atribución definitiva de estos ataques sigue siendo un desafío para los expertos en ciberseguridad, las técnicas empleadas coinciden con el modus operandi de Lazarus. Según los analistas de Socket, el uso de typosquatting, ataques a paquetes NPM y objetivos específicos dentro del ecosistema cripto sugieren una evolución en sus métodos operativos.
