Las criptomonedas fueron solo el comienzo. El grupo norcoreano Lazarus ahora está incorporando malware en software confiable, tomando el control de las herramientas de los desarrolladores para robar datos en segundo plano.
La organización cibercriminal, tiene muchos exploits en su catálogo, especialmente los 600 millones de dólares que robaron en criptomonedas en 2023.
El grupo ha cambiado a jugar a largo plazo en una operación de penetración de la cadena de suministro de software llamada «Phantom Circuit», según los investigadores de SecurityScorecard,
La operación comenzó a principios de este mes y tiene 233 víctimas notables hasta ahora, 100 de las cuales estaban en la India. Los principales objetivos parecen ser desarrolladores de criptomonedas, empresas de tecnología y personas con proyectos de código abierto.
Esto marca la evolución del robo de criptomonedas en atracos cortos a jugar a largo plazo para obtener ganancias más sostenibles.
El grupo Lazarus se ha infiltrado en grupos como CoinProperty y Codementor a través de software de código abierto con puerta trasera, que fue clonado de proyectos legítimos y luego incrustado con malware.
Los datos robados incluían credenciales, tokens de autenticación y contraseñas. Es probable que los datos se estén utilizando para la recopilación de inteligencia para impulsar los objetivos geopolíticos de Corea del Norte, afirma el informe.
Los piratas informáticos utilizaron Gitlab, la plataforma basada en la nube que ayuda a los desarrolladores a gestionar su ciclo de desarrollo de software, lo que significa que se pueden realizar descargas y los desarrolladores pueden instalarlas sin saberlo, ya que generalmente confían en los paquetes de código abierto.
El equipo de investigación de seguridad de STRIKE, a través de ScoreCard, encontró el sistema de comando y control que utilizan para buscar, filtrar y administrar los datos que roban. Los datos robados se cargan en Dropbox, donde se pueden ocultar.
Lazarus redirige su tráfico a través de Astrill VPN y proxies rusos, lo que significa que, a primera vista, habría una ubicación geográfica incorrecta y pensaríamos que Rusia es responsable, pero no es así.
Al cambiar su estrategia a una más a largo plazo, Lazarus está volviéndose más sigiloso y más persistente. Con este enfoque, se puede buscar inteligencia a largo plazo a un nivel más sostenible.
En comparación con operaciones anteriores, en las que se dirigieron a bancos tan lejanos como Polonia, México y Bangladesh, una enorme violación de la infraestructura de datos de las corporaciones Sony en 2014 y un enorme ataque de criptogusano llamado Wannacry, que afectó a instituciones globales como el NHS en el Reino Unido e incluso universidades en China, este es particularmente peligroso ya que se disfraza de una instalación absolutamente rutinaria.
