Nhóm hacker Lazarus của Triều Tiên đang nhắm mục tiêu vào các lập trình viên tiền mã hóa, đánh dấu sự leo thang trong cuộc chiến tranh mạng.
Nhóm Lazarus, đơn vị tin tặc khét tiếng của Triều Tiên, đang gia tăng các cuộc tấn công mạng vào lĩnh vực tiền mã hóa với trọng tâm ngày càng tập trung vào các nhà phát triển phần mềm. Những tháng gần đây, các nhà nghiên cứu bảo mật đã phát hiện nhóm này đang phát tán các gói npm độc hại nhằm đánh cắp thông tin đăng nhập, chiếm đoạt dữ liệu ví tiền mã hóa và tạo backdoor trong môi trường phát triển.
Theo điều tra mới của Socket Research Team, một nhánh của Lazarus Group đã xâm nhập vào kho lưu trữ npm, một trong những trình quản lý gói phổ biến nhất cho các nhà phát triển JavaScript. Tin tặc sử dụng kỹ thuật typosquatting để xuất bản các phiên bản độc hại của các gói npm phổ biến, lừa các nhà phát triển tải xuống chúng. Các gói này bao gồm is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency và auth-validator.
Nhóm Lazarus đánh cắp 1,46 tỷ USD từ Bybit
Khi được thực thi, các gói bị xâm phạm sẽ cài đặt phần mềm độc hại BeaverTail. Công cụ “tiên tiến” này có khả năng đánh cắp thông tin đăng nhập, tìm kiếm các mật khẩu đã lưu trong tệp trình duyệt và trích xuất tệp từ các ví tiền mã hóa như Solana và Exodus. Các nhà nghiên cứu bảo mật lưu ý rằng dữ liệu bị đánh cắp được gửi đến máy chủ điều khiển và kiểm soát (C2) đã được mã hóa cứng, một phương thức hoạt động phổ biến của Lazarus Group.
Bên cạnh các cuộc tấn công chuỗi cung ứng này, Lazarus Group còn liên quan đến một trong những vụ trộm tiền mã hóa lớn nhất từng được ghi nhận. Hành động đầu tiên được cho là xảy ra vào ngày 21/2/2025, khi các tin tặc liên quan đến nhóm xâm nhập vào Bybit, một trong những sàn giao dịch tiền mã hóa lớn nhất thế giới, chiếm đoạt khoảng 1,46 tỷ USD tài sản tiền mã hóa.
Cuộc tấn công được thực hiện cực kỳ tinh vi, được cho là phát động từ một thiết bị bị xâm phạm của một nhân viên Safe{Wallet}, đối tác công nghệ của Bybit. Tin tặc đã lợi dụng lỗ hổng trong cơ sở hạ tầng của ví Ethereum của Bybit và thay đổi logic hợp đồng thông minh để chuyển hướng tiền vào ví của họ.
Mặc dù Bybit đã giải quyết vấn đề ngay lập tức, nhưng theo CEO Ben Zhou, 20% số tiền bị đánh cắp đã được rửa qua các dịch vụ trộn và không thể theo dõi được. Chuỗi tấn công mới nhất này là một phần trong nỗ lực rộng lớn hơn của Bắc Hàn nhằm trốn tránh các lệnh trừng phạt quốc tế bằng cách đánh cắp và rửa tiền mã hóa.
Theo báo cáo của Liên Hợp Quốc năm 2024, tin tặc Bắc Hàn chịu trách nhiệm cho hơn 35% vụ trộm tiền mã hóa toàn cầu trong năm qua, tích lũy hơn 1 tỷ USD tài sản bị đánh cắp. Lazarus Group không chỉ là một tổ chức tội phạm mạng mà còn là mối đe dọa địa chính trị, vì số tiền bị đánh cắp được cho là được chuyển trực tiếp vào các chương trình vũ khí hạt nhân và tên lửa đạn đạo của quốc gia này.
Sau vụ hack Bybit, sàn giao dịch này đã khởi động Chương trình Tiền thưởng Khôi phục, thưởng cho bất kỳ ai giúp tìm thấy tài sản bị đánh cắp với giá trị lên đến 10% số tiền khôi phục được. Đồng thời, hệ sinh thái tiền mã hóa rộng lớn hơn đang tăng cường các biện pháp bảo mật và cảnh báo các nhà phát triển để bảo vệ chống lại các thủ thuật tấn công tương tự.
