Le collectif de hackers affilié à la Corée du Nord, le groupe Lazarus, a déplacé des actifs crypto en utilisant des mixeurs à la suite d'une série de piratages de grande envergure.

Le 13 mars, la société de sécurité blockchain CertiK a alerté ses abonnés sur X qu'elle avait détecté un dépôt de 400 ETH ( ETH ), soit environ 750 000 dollars, sur le service de mixage Tornado Cash.

« Les fonds proviennent des activités du groupe Lazarus sur le réseau Bitcoin », a précisé CertiK.

Le groupe de hackers nord-coréens est responsable du gigantesque hack de l'exchange Bybit , qui a entraîné le vol de 1,4 milliard de dollars en crypto-actifs le 21 février.

Il est également lié au piratage de 29 millions de dollars sur l'exchange Phemex en janvier et blanchit des actifs depuis lors.

Crypto : Le groupe Lazarus envoie 400 ETH à Tornado Cash et déploie un nouveau malware image 0

Les mouvements de crypto-actifs du Lazarus Group. Source: Certik  

Le groupe Lazarus a également été impliqué dans certains des hacks crypto les plus notoires, notamment celui du réseau Ronin en 2022, où 600 millions de dollars ont été dérobés.

Selon les données de Chainalysis, les hackers nord-coréens ont volé plus de 1,3 milliard de dollars en actifs crypto lors de 47 attaques en 2024, soit plus du double des vols enregistrés en 2023.

Un nouveau malware de Lazarus détecté

D'après les chercheurs de la société de cybersécurité Socket, le groupe Lazarus a déployé six nouveaux packages malveillants pour infiltrer les environnements de développement, voler des identifiants, extraire des données crypto et installer des portes dérobées.

Le groupe cible l'écosystème Node Package Manager (NPM), une vaste collection de packages et de bibliothèques JavaScript.

Les chercheurs ont découvert un malware nommé "BeaverTail", intégré dans des packages imitant des bibliothèques légitimes grâce à la technique du typosquatting, qui consiste à tromper les développeurs avec des noms similaires.

« À travers ces packages, Lazarus utilise des noms qui imitent de près des bibliothèques largement reconnues et de confiance », ont-ils ajouté.

Le malware cible également les portefeuilles crypto, en particulier Solana et Exodus, ont précisé les chercheurs.

Crypto : Le groupe Lazarus envoie 400 ETH à Tornado Cash et déploie un nouveau malware image 1

Extrait de code montrant les attaques du portefeuille Solana. Source : Socket

L'attaque vise des fichiers dans les navigateurs Google Chrome, Brave et Firefox, ainsi que les données du trousseau sur macOS. Les développeurs, souvent inconscients du danger, installent ces packages malveillants.

Les chercheurs ont toutefois souligné qu'il reste difficile d'attribuer cette attaque directement à Lazarus. Cependant, « les tactiques, techniques et procédures observées dans cette attaque via NPM correspondent étroitement aux opérations connues de Lazarus ».