Grupo Lazarus Vinculado à Lavagem de $750.000 em Ethereum

O Grupo Lazarus, um coletivo de hackers afiliado à Coreia do Norte, intensificou suas atividades cibernéticas com dois novos incidentes de alto perfil.

Em 13 de março, a empresa de segurança de blockchain CertiK relatou que o grupo depositou 400 Ethereum (ETH), no valor de cerca de $750.000, no serviço de mistura Tornado Cash, uma ferramenta utilizada para obscurecer a origem de ativos cripto.

#CertiKInsight 🚨

Detectamos um depósito de 400 ETH em https://t.co/0lwPdz0OWi no Ethereum de:
0xdB31a812261d599A3fAe74Ac44b1A2d4e5d00901
0xB23D61CeE73b455536EF8F8f8A5BadDf8D5af848.

O fundo remonta à atividade do grupo Lazarus na rede Bitcoin.

Mantenha-se Vigilante! pic.twitter.com/IHwFwt5uQs

— CertiK Alert (@CertiKAlert) 13 de Março, 2025

Essa ação foi associada à sua atividade anterior na rede Bitcoin, destacando os esforços contínuos do grupo para lavar fundos após ataques de alto perfil.

O Grupo Lazarus é notório por sua participação em grandes roubos de criptomoedas, incluindo o hack de $1,4 bilhão do Bybit em fevereiro de 2025 e o roubo de $29 milhões da Phemex em janeiro, conforme observado pelo CoinTelegraph.

De acordo com a empresa de análises de blockchain Chainalysis, Lazarus roubou mais de $1,3 bilhão em ativos cripto em 2024, mais que duplicando seus roubos de 2023.

Enquanto isso, pesquisadores de cibersegurança na Socket descobriram uma nova onda de pacotes maliciosos direcionados ao ecossistema npm, usado por desenvolvedores para gerenciar bibliotecas JavaScript.

Os seis pacotes maliciosos, baixados mais de 330 vezes, foram encontrados incorporados com uma forma de malware conhecida como BeaverTail. Esses pacotes imitam bibliotecas legítimas em uma tática enganosa chamada typosquatting, onde são usadas pequenas variações nos nomes para enganar os desenvolvedores a instalarem código prejudicial.

Os pesquisadores da Socket observaram que as táticas, técnicas e procedimentos neste ataque npm estão intimamente alinhados com as operações conhecidas de Lazarus. Os pacotes foram projetados para roubar informações sensíveis, incluindo credenciais e dados de criptomoedas, enquanto também implantavam backdoors nos sistemas afetados.

Especificamente, eles visaram arquivos em navegadores como Chrome, Brave e Firefox, e dados do keychain no macOS, focando em desenvolvedores que podem não notar o malware durante a instalação.

Este ataque destaca o uso contínuo de métodos sofisticados de infiltração por Lazarus, aproveitando nomes confiáveis no registro npm para explorar a comunidade de código aberto. Apesar das técnicas de ofuscação utilizadas, os pesquisadores conseguiram detectar a intenção maliciosa e sinalizar os pacotes para remoção.

À medida que Lazarus continua suas atividades cibercriminosas, especialistas alertam que as organizações devem adotar medidas de segurança mais rigorosas, como auditoria automatizada de código e varreduras de dependência, para prevenir ataques semelhantes.