گروه لازاروس ۴۰۰ اتریوم به تورنادوکش ارسال کرد؛ احتمال استفاده از بدفزارهای جدید برای سرقت

گروه هکری لازاروس (Lazarus) که به کره شمالی وابسته است، پس از انجام مجموعه‌ای از حملات هکری جنجالی، در حال جابه‌جایی دارایی‌های خود از طریق میکسرهای ارز دیجیتال است.

به گزارش میهن بلاکچین، در تاریخ ۱۳ مارس (۲۳ اسفند)، شرکت امنیت بلاکچین CertiK، در شبکه اجتماعی X اعلام کرد که واریز ۴۰۰ اتریوم (ETH)، به ارزش تقریبی ۷۵۰ هزار دلار، به سرویس میکسینگ تورنادو کش (Tornado Cash) را شناسایی کرده است. این شرکت امنیتی خاطرنشان کرد مسیر انتقال این وجوه، به فعالیت‌های گروه لازاروس در شبکه بیت کوین بازمی‌گردد.

کارنامه سیاه گروه هکری لازاروس

این گروه هکری، مسئول هک گسترده صرافی بای‌ بیت (Bybit) در تاریخ ۲۱ فوریه (۳ اسفند) بود که منجر به سرقت ۱.۴ میلیارد دلار دارایی دیجیتال شد. لازاروس همچنین به هک ۲۹ میلیون دلاری صرافی فمکس (Phemex) در ماه ژانویه (دی) مرتبط بوده و از آن زمان تاکنون مشغول پول‌شویی دارایی‌های سرقتی است.

این گروه در برخی از بدنام‌ترین حملات سایبری صنعت کریپتو نیز نقش داشته که از جمله آن‌ها می‌توان به هک ۶۰۰ میلیون دلاری شبکه رونین (Ronin Network) در سال ۲۰۲۲ اشاره کرد.

بر اساس داده‌های چینالیسیس (Chainalysis)،لازاروس در سال ۲۰۲۴ بیش از ۱.۳ میلیارد دلار دارایی دیجیتال را طی ۴۷ حمله سایبری به سرقت برده‌ که معادل بیش از دو برابر سرقت‌های انجام‌شده در سال ۲۰۲۳ است.

شناسایی بدافزار جدید گروه لازاروس

بر اساس تحقیقات شرکت امنیت سایبری سوکت (Socket)، گروه لازاروس شش بسته مخرب جدید را برای نفوذ به محیط‌های توسعه، سرقت اطلاعات ورود به سیستم، استخراج داده‌های مرتبط با ارزهای دیجیتال و … منتشر کرده است.

این گروه، اکوسیستم نود پکیج منیجر (Node Package Manager) را هدف قرار داده که مجموعه بزرگی از بسته‌ها و کتابخانه‌های جاوا اسکریپت محسوب می‌شود.

محققان موفق به شناسایی بدافزاری به نام بیور تیل (BeaverTail) شده‌اند که در بسته‌هایی تعبیه شده که با استفاده از روش‌های تایپواسکواتینگ (Typosquatting)، نام‌هایی مشابه با کتابخانه‌های معتبر و قابل‌اعتماد دارند تا توسعه‌دهندگان را فریب دهند. محققان افزودند:

در این بسته‌ها، لازاروس از نام‌هایی استفاده می‌کند که بسیار شبیه به کتابخانه‌های معتبر و شناخته‌شده هستند.

این بدافزار به‌طور خاص کیف پول‌های ارز دیجیتال، از جمله کیف پول‌های شبکه سولانا و اکسودوس (Exodus) را هدف قرار داده است.

این حمله، فایل‌های موجود در مرورگرهای گوگل کروم (Google Chrome)، بریو (Brave)، فایرفاکس (Firefox) و همچنین داده‌های سیستم‌عامل مک او اس (MacOS) را هدف قرار می‌دهد؛ به‌ویژه توسعه‌دهندگانی که ممکن است ناخواسته این بسته‌های مخرب را نصب کنند.

محققان اشاره کردند که نسبت دادن این حمله به لازاروس به‌طور قطعی چالش‌برانگیز است، اما تاکتیک‌ها، تکنیک‌ها و روش‌هایی که در این حمله سایبری مشاهده شده، به‌شدت با الگوهای عملیاتی شناخته‌شده لازاروس همخوانی دارد.