Hacker nordcoreani collegati al furto di 305 milioni di dollari in Bitcoin da DMM, confermano le autorità

L’FBI, l’Agenzia di Polizia Nazionale del Giappone e il Dipartimento di Difesa del Cyber Crime Center hanno identificato degli hacker collegati alla Corea del Nord come gli orchestratori di un attacco informatico da 305 milioni di dollari alla borsa di criptovalute giapponese DMM Bitcoin nel maggio 2024.

Un comunicato congiunto emesso il 23 dicembre attribuisce la violazione al gruppo di minacce TraderTraitor, noto anche come Jade Sleet, UNC4899 e Slow Pisces.

Hacker News spiega che TraderTraitor, attivo almeno dal 2020, è noto per aver preso di mira le aziende Web3 attraverso app di criptovaluta infette da malware. Il gruppo spesso utilizza campagne di ingegneria sociale a tema lavorativo o finge di collaborare a progetti su GitHub per distribuire pacchetti npm malevoli e facilitare il furto.

Le autorità hanno rivelato che la violazione di DMM Bitcoin è originata da un attacco di ingegneria sociale a Ginco, una società giapponese di software per portafogli cripto. A marzo, un operativo nordcoreano che si spacciava per un reclutatore di LinkedIn ha condiviso uno script Python malevolo mascherato da test pre-assunzione con un dipendente di Ginco.

Quando il dipendente ha copiato lo script sul proprio account GitHub personale, ha esposto dati sensibili dei cookie di sessione, permettendo al hacker di impersonare il dipendente e infiltrarsi nel sistema di comunicazione di Ginco.

Entro maggio, l’attore della minaccia ha utilizzato il suo accesso per manipolare una legittima richiesta di transazione da un dipendente di DMM Bitcoin, rubando alla fine 4.502,9 BTC, del valore di 305 milioni di dollari.

La società di intelligence Blockchain Chainalysis ha confermato i risultati, spiegando come gli aggressori abbiano sfruttato le vulnerabilità dell’infrastruttura per sottrarre fondi.

Hanno riciclato la criptovaluta rubata attraverso indirizzi intermedi, un servizio di mixaggio Bitcoin CoinJoin, e servizi di collegamento prima di trasferirla a HuiOne Guarantee, un mercato online collegato al Gruppo HuiOne della Cambogia, noto facilitatore di crimini informatici.

Finance Feeds riporta che DMM Bitcoin ha annunciato piani per cessare le operazioni, raggiungendo un accordo con SBI VC Trade, la divisione di criptovaluta del gigante finanziario giapponese SBI Group, per trasferire i suoi beni e i conti dei clienti entro marzo 2025.

Finance Feeds segnala inoltre che DMM Bitcoin ha chiarito che, sebbene gli asset in custodia stiano venendo trasferiti a SBI, le posizioni di trading con leva non saranno incluse. I clienti devono regolare tutte le posizioni aperte prima del passaggio. La borsa ha confermato che si chiuderà una volta completato il trasferimento.

Questa rivelazione sottolinea i continui rischi di sicurezza informatica nel settore Web3, con TraderTraitor che rimane una minaccia persistente mirata al panorama globale delle criptovalute.