Foto: OlegRi/Shutterstock
Die nordkoreanische Hackergruppe Lazarus Group, die für den jüngsten Bybit-Hack verantwortlich ist, sorgt erneut für Schlagzeilen. Diesmal haben sie eine große Menge Ethereum (ETH) über den umstrittenen Mixer Tornado Cash transferiert. Zudem haben sie neue Malware eingesetzt, die gezielt auf Entwickler in der Kryptobranche abzielt.
Lazarus Group nutzt Tornado Cash zur Geldwäsche
Die Lazarus Group erlangte traurige Berühmtheit durch den größten Krypto-Diebstahl der Geschichte, bei dem Ethereum im Wert von 1,5 Milliarden Euro gestohlen wurde. Nun haben sie einen Teil dieser Beute über Tornado Cash verschoben.
Tornado Cash ist ein Protokoll, das Anonymität für Blockchain-Transaktionen bietet. Durch das Vermischen von Ein- und Auszahlungen wird die Verbindung zwischen Absender und Empfänger verschleiert. Dies macht das Tool zwar für legitime Privatsphäre-Bedürfnisse attraktiv, wird jedoch auch für illegale Aktivitäten wie Geldwäsche missbraucht.
Infolgedessen belegte das Office of Foreign Assets Control (OFAC) Tornado Cash 2022 mit Sanktionen, wodurch die Nutzung des Dienstes für US-Bürger verboten wurde.
Trotz dieser Verbote nutzt die Lazarus Group den Mixer weiterhin, um gestohlene Kryptowährungen zu verbergen. Laut dem Blockchain-Sicherheitsunternehmen CertiK wurde eine Einzahlung von 400 ETH im Wert von rund 750.000 US-Dollar bei Tornado Cash nachgewiesen. Diese Gelder konnten auf frühere Aktivitäten der Lazarus Group im Bitcoin-Netzwerk zurückgeführt werden.
Neue Malware-Kampagne zielt auf Krypto-Entwickler ab
Neben ihren finanziellen Aktivitäten hat die Lazarus Group auch eine neue Malware-Kampagne gestartet, die gezielt auf Entwickler in der Kryptobranche abzielt.
Cybersecurity-Forscher von Socket entdeckten, dass die Gruppe sechs neue Pakete im Node Package Manager (NPM)-Ökosystem verbreitet hat. Diese Pakete sind so konzipiert, dass sie Entwicklerumgebungen infiltrieren, Anmeldedaten stehlen, krypto-relevante Daten extrahieren und Hintertüren installieren.
Die Malware mit dem Namen „BeaverTail“ nutzt eine sogenannte Typosquatting-Taktik, bei der die Namen der bösartigen Pakete denen legitimer und vertrauenswürdiger Bibliotheken ähneln. Dadurch werden Entwickler verleitet, versehentlich diese bösartigen Pakete zu installieren.
Einmal installiert, zielt die Malware auf Dateien in Browsern wie Google Chrome, Brave und Firefox ab und greift zudem die Keychain-Daten auf macOS-Systemen an. Dies stellt eine erhebliche Bedrohung für Entwickler dar, die unwissentlich diese schädlichen Pakete verwenden.
