Lazarus Group envia 400 ETH para Tornado Cash e implanta novo malware

O grupo de hackers Lazarus, afiliado à Coreia do Norte, tem movimentado ativos cripto usando mixers após uma série de ataques de alto perfil.

Em 13 de março, a empresa de segurança blockchain CertiK alertou seus seguidores na X de que detectou um depósito de 400 ETH (ETH) no serviço de mixagem Tornado Cash, equivalente a aproximadamente US$ 750.000.

“Os fundos rastreados estão ligados à atividade do grupo Lazarus na rede Bitcoin”, observou a empresa.

O grupo de hackers norte-coreano foi responsável pelo massivo ataque à exchange Bybit em 21 de fevereiro, que resultou no roubo de US$ 1,4 bilhão em ativos cripto.

O grupo também foi vinculado ao ataque à exchange Phemex em janeiro, que resultou no roubo de US$ 29 milhões, e vem lavando esses ativos desde então.

*Movimentações de criptoativos pelo grupo Lazarus. Fonte:* *CertiK*

O Lazarus também esteve envolvido em alguns dos ataques mais infames da história cripto, incluindo o hack da rede Ronin em 2022, que resultou no roubo de US$ 600 milhões.

Hackers norte-coreanos roubaram mais de US$ 1,3 bilhão em criptoativos em 47 ataques somente em 2024, mais que dobrando os roubos registrados em 2023, de acordo com dados da Chainalysis.

Novo malware do Lazarus detectado

Pesquisadores da empresa de cibersegurança Socket identificaram que o grupo Lazarus implantou seis novos pacotes maliciosos para infiltrar ambientes de desenvolvedores, roubar credenciais, extrair dados de criptomoedas e instalar backdoors.

Os hackers têm como alvo o ecossistema Node Package Manager (NPM), um grande repositório de pacotes JavaScript e bibliotecas.

Pesquisadores descobriram um malware chamado “BeaverTail” inserido em pacotes que imitam bibliotecas legítimas usando a técnica de typosquatting para enganar desenvolvedores.

“Nesses pacotes, o Lazarus usa nomes que imitam de perto bibliotecas legítimas e amplamente confiáveis”, acrescentaram.

Por dentro da estratégia de lavagem de dinheiro do Lazarus Group

O malware também ataca carteiras de criptomoedas, especificamente as carteiras Solana e Exodus.

*Trecho de código mostrando ataques a carteiras Solana. Fonte: Socket*

O ataque tem como alvo arquivos armazenados nos navegadores Google Chrome, Brave e Firefox, além de dados do Keychain no macOS, mirando desenvolvedores que possam instalar pacotes maliciosos sem perceber.

Os pesquisadores observaram que atribuir definitivamente esse ataque ao Lazarus continua desafiador. No entanto, “as táticas, técnicas e procedimentos observados neste ataque ao NPM se alinham fortemente com as operações conhecidas do Lazarus.”