Il Gruppo Lazarus collegato al riciclaggio di Ethereum da 750.000 dollari

Il Gruppo Lazarus, un collettivo di hacker affiliato alla Corea del Nord, ha intensificato le sue attività cyber con due nuovi incidenti di alto profilo.

Il 13 marzo, l’azienda di sicurezza blockchain CertiK ha riferito che il gruppo ha depositato 400 Ethereum (ETH), del valore di circa $750.000, nel servizio di mixaggio Tornado Cash, uno strumento utilizzato per oscurare l’origine degli asset crittografici.

#CertiKInsight 🚨

Abbiamo rilevato un deposito di 400 ETH su https://t.co/0lwPdz0OWi da Ethereum da:
0xdB31a812261d599A3fAe74Ac44b1A2d4e5d00901
0xB23D61CeE73b455536EF8F8f8A5BadDf8D5af848.

Il fondo risale all’attività del gruppo Lazarus sulla rete Bitcoin.

Rimani vigile! pic.twitter.com/IHwFwt5uQs

— CertiK Alert (@CertiKAlert) 13 Marzo, 2025

Questa mossa è stata collegata alla loro precedente attività sulla rete Bitcoin, sottolineando gli sforzi continui del gruppo per riciclare fondi a seguito di attacchi informatici di alto profilo.

Il Gruppo Lazarus è noto per il suo coinvolgimento in importanti furti di criptovalute, tra cui l’attacco da 1,4 miliardi di dollari a Bybit nel febbraio 2025 e il furto da 29 milioni di dollari a Phemex a gennaio, come segnalato da CoinTelegraph.

Secondo la società di analisi della blockchain Chainalysis, Lazarus ha rubato oltre 1,3 miliardi di dollari in asset cripto nel solo 2024, più che raddoppiando i loro furti del 2023.

Nel frattempo, i ricercatori di cybersecurity presso Socket hanno scoperto una nuova ondata di pacchetti malevoli che prendono di mira l’ecosistema npm, utilizzato dagli sviluppatori per gestire le librerie JavaScript.

I sei pacchetti malevoli, scaricati più di 330 volte, sono stati trovati contenere una forma di malware nota come BeaverTail. Questi pacchetti imitano le librerie legittime utilizzando una tattica ingannevole chiamata typosquatting, dove si usano leggere variazioni nei nomi per ingannare gli sviluppatori e farli installare codici dannosi.

I ricercatori di Socket hanno osservato che le tattiche, le tecniche e le procedure in questo attacco npm si allineano strettamente con le operazioni note di Lazarus. I pacchetti erano progettati per rubare informazioni sensibili, tra cui le credenziali e i dati delle criptovalute, mentre contemporaneamente installavano backdoor nei sistemi interessati.

In particolare, hanno preso di mira i file nei browser come Chrome, Brave e Firefox, e i dati del portachiavi su macOS, concentrandosi su sviluppatori che potrebbero non notare il malware durante l’installazione.

Questo attacco evidenzia il continuo uso da parte di Lazarus di sofisticati metodi di infiltrazione, sfruttando nomi di fiducia nel registro npm per sfruttare la comunità open-source. Nonostante le tecniche di offuscamento utilizzate, i ricercatori sono stati in grado di rilevare l’intento malevolo e hanno segnalato i pacchetti per la rimozione.

Mentre Lazarus prosegue le sue attività cybercriminali, gli esperti avvertono che le organizzazioni devono adottare misure di sicurezza più rigorose, come l’auditing automatico del codice e le scansioni delle dipendenze, per prevenire attacchi simili.