يواصل مجموعة القراصنة Lazarus، المرتبطة بكوريا الشمالية، أنشطتها غير القانونية في قطاع العملات المشفرة. مؤخرًا، قام الفريق بنقل 400 ETH، ما يعادل حوالي 750,000 دولار، عبر خدمة الخلط Tornado Cash. تتيح هذه الطريقة إخفاء مصدر الأموال، مما يجعل تتبع المعاملات أكثر صعوبة.
Summary
لازاروس يعيد تدوير 400 ETH عبر Tornado Cash
اكتشفت شركة الأمن blockchain CertiK وأبلغت عن هذه الحركة اليوم. وفقًا للخبراء، فإن الأموال لها ارتباط مباشر بأنشطة مجموعة Lazarus على شبكة Bitcoin.
يُعتبر Lazarus واحدة من أخطر المنظمات في مجال القرصنة في قطاع العملات الرقمية. المجموعة مسؤولة عن الهجوم على منصة التبادل Bybit، الذي حدث في 21 فبراير، حيث تم سرقة 1.4 مليار دولار في الأصول الرقمية.
ليس هذا هو الهجوم الأول المنسوب إلى المجموعة: في يناير تم الكشف عن ارتباط Lazarus بهجوم آخر، وهو هجوم على منصة Phemex، حيث تم سرقة 29 milioni من الدولارات. منذ الأشهر الأولى من عام 2024، واصل الهاكرز الكوريون الشماليون إعادة تدوير الأموال وتطوير أدوات جديدة لمهاجمة منصات العملات الرقمية.
على مر السنين، تم اعتبار لازاروس مسؤولاً عن بعض من أكبر الهجمات في تاريخ العملات المشفرة. من بين هذه الهجمات، يبرز الهجوم الذي بلغ 600 مليون دولار على شبكة Ronin في عام 2022. وفقًا لبيانات شركة تحليل البلوكشين Chainalysis، في عام 2024 قام القراصنة الكوريون الشماليون بسرقة أكثر من 1.3 مليار دولار في العملات المشفرة من خلال 47 هجومًا إلكترونيًا، وهو رقم يضاعف قيمة السرقات التي حدثت في عام 2023.
برمجيات خبيثة جديدة لمهاجمة المطورين
بالإضافة إلى الهجمات المستمرة على منصات التداول، بدأ مجموعة لازاروس في نشر أدوات اختراق جديدة لاستهداف المطورين ومحافظ العملات الرقمية.
حدد خبراء الأمن السيبراني في شركة Socket ست حزم خبيثة جديدة مصممة للتسلل إلى بيئات التطوير، وسرقة بيانات الاعتماد وسرقة المعلومات الحيوية عن العملات المشفرة. تتيح هذه البرامج الضارة أيضًا تثبيت backdoor في الأنظمة المخترقة، مما يمهد الطريق لهجمات إضافية.
استهدف القراصنة Node Package Manager (NPM)، وهي واحدة من المكتبات الأكثر استخدامًا لتطوير تطبيقات JavaScript. لنشر البرمجيات الخبيثة، يستخدم Lazarus تقنية معروفة باسم typosquatting، والتي تتضمن إنشاء حزم ضارة بأسماء مشابهة جدًا لأسماء المكتبات الشرعية.
أحد البرمجيات الخبيثة التي تم تحديدها، يسمى “BeaverTail”، تم اكتشافه داخل هذه الحزم المزيفة. بمجرد تثبيته، يكون BeaverTail قادرًا على سرقة الأموال من محافظ العملات المشفرة، مع التركيز بشكل خاص على المحافظ Solana وExodus.
حتى المتصفحات الأكثر استخدامًا، مثل Google Chrome وBrave وFirefox، تقع ضمن نطاق الهجوم. بالإضافة إلى ذلك، يعمل البرمجيات الخبيثة على أنظمة macOS، مستهدفًا ملفات keychain للوصول إلى بيانات الاعتماد والبيانات الحساسة للمطورين.
تقنيات تعود إلى Lazarus
تظل الإسناد النهائي لهذه الهجمات الجديدة إلى مجموعة Lazarus تحديًا لخبراء الأمن السيبراني. ومع ذلك، فإن المنهجية المعتمدة تُظهر تشابهًا مع التقنيات التي استخدمها هذا الجماعة في الماضي.
أشار المحللون في Socket إلى أن الأساليب المستخدمة في هذه الهجمات الإلكترونية تتوافق مع الاستراتيجيات المعروفة لمجموعة Lazarus. إن الجمع بين typosquatting، الهجمات على حزم NPM واستهداف المطورين يشير إلى تطور في الأساليب التشغيلية للمجموعة.
لازاروس يستمر في زعزعة استقرار النظام البيئي للعملات المشفرة
تؤكد مجموعة Lazarus أنها واحدة من أخطر التهديدات لقطاع العملات المشفرة. قدرتها على التكيف وتطوير تقنيات أكثر تطوراً تمثل خطراً جسيماً على exchange، المطورين، ومستخدمي العملات المشفرة.
الهجمات الإلكترونية التي ينفذها القراصنة الكوريون الشماليون لا تسبب فقط خسائر اقتصادية كبيرة، بل تعرض النظام البيئي بأكمله للعملات الرقمية للخطر. باستخدام أدوات غسيل الأموال مثل Tornado Cash ونشر البرمجيات الخبيثة المتقدمة، يستمر Lazarus في الهروب من رقابة السلطات الأمنية العالمية.
ينصح خبراء الأمن السيبراني باتخاذ تدابير حماية فعالة لتقليل خطر العدوى والسرقات الرقمية، مثل المراقبة الدقيقة لحزم البرامج واستخدام أدوات الأمان المتقدمة.
