El grupo de hackers Lazarus, afiliado a Corea del Norte, continúa sus actividades ilícitas en el sector de las criptomonedas. Recientemente, el colectivo ha transferido 400 ETH, equivalentes a aproximadamente 750.000 dólares, a través del servicio de mezcla Tornado Cash. Este método permite ocultar el origen de los fondos, haciendo más difícil el rastreo de las transacciones.
Summary
Lazarus recicla 400 ETH en Tornado Cash
La empresa de seguridad blockchain CertiK ha detectado y reportado este movimiento justo hoy. Según los expertos, los fondos tienen una conexión directa con las actividades del grupo Lazarus en la red Bitcoin.
Lazarus es una de las organizaciones de hacking más peligrosas del sector crypto. El grupo es responsable del ataque a la plataforma de intercambio Bybit, ocurrido el 21 de febrero, en el que fueron robados $1,4 mil millones en activos digitales.
No es el primer golpe atribuido al grupo: en enero surgió la conexión de Lazarus con otro ataque, el del exchange Phemex, en el que se robaron 29 millones de dólares. Desde los primeros meses de 2024, los hackers norcoreanos han continuado reciclando capitales y desarrollando nuevas herramientas para atacar las plataformas crypto.
A lo largo de los años, Lazarus ha sido considerado responsable de algunos de los mayores ataques en la historia de las criptovalute. Entre estos, destaca el ataque de 600 millones de dólares a la red Ronin en 2022. Según los datos de la empresa de análisis blockchain Chainalysis, en 2024 los hackers norcoreanos han sustraído más de 1,3 mil millones de dólares en criptomonedas a través de 47 ataques informáticos, un dato que duplica el valor de las sustracciones ocurridas en 2023.
Nuevo malware para atacar a los desarrolladores
Además de los continuos ataques a los exchange, el grupo Lazarus ha comenzado a difundir nuevas herramientas de hacking para atacar a desarrolladores y billeteras de criptomonedas.
Los expertos en ciberseguridad de la empresa Socket han identificado seis nuevos paquetes maliciosos diseñados para infiltrarse en los entornos de desarrollo, robar credenciales y sustraer información crítica sobre las criptomonedas. Estos softwares maliciosos también permiten instalar backdoor en los sistemas comprometidos, abriendo el camino a ataques adicionales.
Los hackers han apuntado al Node Package Manager (NPM), una de las bibliotecas más utilizadas para el desarrollo de aplicaciones JavaScript. Para difundir el malware, Lazarus utiliza una técnica conocida como typosquatting, que consiste en crear paquetes maliciosos con nombres muy similares a los de bibliotecas legítimas.
Uno de los malware identificados, llamado “BeaverTail”, fue descubierto dentro de estos paquetes falsificados. Una vez instalado, BeaverTail es capaz de sustraer fondos de los monederos de criptomonedas, con especial atención a los monederos Solana y Exodus.
También los navegadores web más utilizados, como Google Chrome, Brave y Firefox, entran en el alcance del ataque. Además, el malware actúa en los sistemas macOS, apuntando a los archivos del keychain para acceder a las credenciales de acceso y a los datos sensibles de los desarrolladores.
Técnicas atribuibles a Lazarus
La atribución definitiva de estos nuevos ataques al grupo Lazarus sigue siendo un desafío para los expertos en ciberseguridad. Sin embargo, la metodología adoptada presenta similitudes con las técnicas utilizadas por el colectivo en el pasado.
Los analistas de Socket han subrayado que los métodos empleados en estos ataques informáticos coinciden con las estrategias conocidas del grupo Lazarus. La combinación de typosquatting, ataques a los paquetes NPM y el targeting de desarrolladores indica una evolución en las modalidades operativas del grupo.
Lazarus continúa desestabilizando el ecosistema crypto
El grupo Lazarus se confirma como una de las amenazas más peligrosas para el sector de las criptomonedas. Su capacidad de adaptarse y desarrollar técnicas cada vez más sofisticadas representa un grave riesgo para exchange, desarrolladores y usuarios crypto.
Los ataques informáticos llevados a cabo por los hackers norcoreanos no solo causan pérdidas económicas significativas, sino que ponen en riesgo todo el ecosistema de las monedas digitales. Con el uso de herramientas de lavado de dinero como Tornado Cash y la difusión de malware avanzado, Lazarus sigue eludiendo los controles de las autoridades de seguridad globales.
Los expertos en ciberseguridad aconsejan adoptar medidas de protección eficaces para reducir el riesgo de infecciones y robos digitales, como el monitoreo atento de los paquetes de software y el uso de herramientas de seguridad avanzadas.
