กลุ่มแฮกเกอร์ Lazarus Group ซึ่งมีความสัมพันธ์กับเกาหลีเหนือได้ทำการย้ายสินทรัพย์ดิจิทัลโดยใช้บริการปกปิดธุรกรรม หลังจากเกิดการแฮ็กข้อมูลอันโด่งดังหลายครั้ง
เมื่อวันที่ 13 มีนาคม บริษัทรักษาความปลอดภัยบล็อคเชน CertiK แจ้งเตือนผู้ติดตามบน X ว่าได้ตรวจพบการฝากเงินจำนวน 400 ETH ผ่าน Tornado Cash
“เส้นทางของเงินนี้เชื่อมโยงกับกิจกรรมของกลุ่ม Lazarus บนเครือข่าย Bitcoin” – CertiK
Lazarus Group อยู่เบื้องหลังการแฮ็กครั้งใหญ่หลายครั้ง
Lazarus Group เป็นผู้ต้องสงสัยสำคัญในเหตุการณ์โจมตี Bybit Exchange ครั้งใหญ่เมื่อวันที่ 21 กุมภาพันธ์ ซึ่งทำให้มีการขโมยสินทรัพย์คริปโต มูลค่ากว่า 1.4 พันล้านดอลลาร์
ก่อนหน้านี้ Lazarus ยังถูกเชื่อมโยงกับการแฮ็ก Phemex Exchange มูลค่า 29 ล้านดอลลาร์ในเดือนมกราคม และมีการฟอกเงินอย่างต่อเนื่อง
นอกจากนี้ กลุ่มนี้ยังเคยอยู่เบื้องหลังเหตุการณ์โจมตีครั้งใหญ่ที่สุดในวงการคริปโต อย่าง การแฮ็ก Ronin Network มูลค่า 600 ล้านดอลลาร์ในปี 2022
ตามข้อมูลจาก Chainalysis พบว่า ในปี 2024 เพียงปีเดียว กลุ่มแฮ็กเกอร์เกาหลีเหนือขโมยสินทรัพย์คริปโตไปแล้วกว่า 1.3 พันล้านดอลลาร์จาก 47 เหตุการณ์ ซึ่งเพิ่มขึ้นกว่าสองเท่าเมื่อเทียบกับปี 2023
พบมัลแวร์ใหม่ของ Lazarus Group เจาะระบบนักพัฒนา ขโมยข้อมูลและเงินคริปโต
บริษัทวิจัยด้านความปลอดภัยไซเบอร์ Socket รายงานว่า Lazarus Group ได้พัฒนาแพ็กเกจมัลแวร์ใหม่ 6 ตัว เพื่อโจมตีสภาพแวดล้อมของนักพัฒนา ขโมยข้อมูลล็อกอิน ดูดข้อมูลคริปโต และติดตั้ง Backdoor เพื่อควบคุมระบบจากระยะไกล
การโจมตีครั้งนี้พุ่งเป้าไปที่ Node Package Manager (NPM) ซึ่งเป็นระบบจัดการแพ็กเกจของ JavaScript ที่ได้รับความนิยมในหมู่นักพัฒนา
นักวิจัยพบมัลแวร์ที่มีชื่อว่า “BeaverTail” ถูกฝังอยู่ในแพ็กเกจที่ ปลอมเป็นไลบรารีที่น่าเชื่อถือโดยใช้เทคนิค Typosquatting หรือการใช้ชื่อที่ใกล้เคียงกับของจริงเพื่อหลอกให้นักพัฒนาโหลดไปใช้งาน
“Lazarus ใช้ชื่อแพ็กเกจที่คล้ายกับไลบรารีที่น่าเชื่อถือและใช้กันอย่างแพร่หลาย” – Socket
มัลแวร์นี้ยัง เจาะข้อมูลกระเป๋าเงินคริปโต โดยเฉพาะ Solana และ Exodus Wallets
การโจมตีมุ่งเป้าไปที่ ไฟล์ในเบราว์เซอร์ Google Chrome, Brave และ Firefox รวมถึงข้อมูล Keychain บน macOS โดยพุ่งเป้าไปที่ นักพัฒนาซอฟต์แวร์ที่อาจเผลอติดตั้งแพ็กเกจอันตราย โดยไม่รู้ตัว
นักวิจัยระบุว่าการยืนยันว่า Lazarus อยู่เบื้องหลังการโจมตีนี้ยังคงเป็นเรื่องท้าทาย แต่จากวิธีการและแนวทางการโจมตีที่ใช้ “สอดคล้องกับรูปแบบที่เคยพบในปฏิบัติการของ Lazarus”
อ้างอิง : cointelegraph.com
ภาพ thesecmaster.com
