Lazarus Grubu, $750,000 Ethereum Aklamayla Bağlantılı

Lazarus Group, Kuzey Kore’ye bağlı bir hacker kolektifi, siber faaliyetlerini iki yeni yüksek profilli olayla tırmandırdı.

13 Mart’ta, blockchain güvenlik firması CertiK, grubun Tornado Cash karıştırma hizmetine, kripto varlıklarının kökenini gizlemek için kullanılan bir araca, yaklaşık 750.000 dolar değerinde 400 Ethereum (ETH) yatırdığını bildirdi.

#CertiKInsight 🚨

400 ETH’nin https://t.co/0lwPdz0OWi adresinde Ethereum’dan yatırıldığını tespit ettik. Gönderen adresler:
0xdB31a812261d599A3fAe74Ac44b1A2d4e5d00901
0xB23D61CeE73b455536EF8F8f8A5BadDf8D5af848.

Fon, Lazarus grubunun Bitcoin ağındaki aktivitesine dayanıyor.

Dikkatli Olun! pic.twitter.com/IHwFwt5uQs

— CertiK Alert (@CertiKAlert) 13 Mart, 2025

Bu hareket, Bitcoin ağındaki önceki faaliyetleriyle bağlantılıydı ve grubun yüksek profilli hack olaylarının ardından fonları aklama çabalarını vurguluyordu.

Lazarus Grubu, Şubat 2025’te Bybit’in 1.4 milyar dolarlık saldırısına ve Ocak ayında Phemex’in 29 milyon dolarlık saldırısına dahil olmak üzere büyük kripto para hırsızlıklarıyla ünlüdür, CoinTelegraph tarafından belirtildiği gibi.

Blockchain analitik firması Chainalysis’a göre, Lazarus sadece 2024 yılında 1,3 milyar doların üzerinde kripto varlık çalmıştır, bu 2023 yılındaki hırsızlıklarını ikiye katlamaktan daha fazladır.

Bu arada, Socket ‘taki siber güvenlik araştırmacıları, geliştiricilerin JavaScript kütüphanelerini yönetmek için kullandığı npm ekosistemini hedef alan yeni bir dizi zararlı paket keşfettiler.

330’dan fazla indirilen altı zararlı paket, BeaverTail olarak bilinen bir tür zararlı yazılımla gömülü bulundu. Bu paketler, geliştiricilerin zararlı kodları kurmalarını sağlamak için hafif isim değişikliklerinin kullanıldığı bir aldatma taktiği olan typosquatting adı verilen teknikle meşru kütüphaneleri taklit eder.

Socket’ın araştırmacıları, bu npm saldırısındaki taktik, teknik ve prosedürlerin Lazarus’un bilinen operasyonlarına yakından uyum sağladığını belirtti. Paketler, kimlik bilgileri ve kripto para verileri dahil olmak üzere hassas bilgileri çalmak için tasarlandı ve aynı zamanda etkilenen sistemlere arka kapılar yerleştirdi.

Özellikle, Chrome, Brave ve Firefox gibi tarayıcılardaki dosyaları ve macOS’taki anahtarlık verilerini hedef aldılar, geliştiricilere odaklandılar ki bu geliştiriciler, yazılımı kurarken zararlı yazılımı fark etmeyebilir.

Bu saldırı, Lazarus’un npm kayıt defterindeki güvenilir isimleri kullanarak açık kaynak topluluğunu sömürmek için karmaşık infiltrasyon yöntemlerini sürekli olarak kullanmaya devam ettiğini gözler önüne seriyor. Kullanılan karıştırma tekniklerine rağmen, araştırmacılar kötü niyeti tespit edebildi ve paketleri kaldırılması için işaretledi.

Lazarus siber suç faaliyetlerine devam ederken, uzmanlar, benzer saldırıları önlemek için organizasyonların kod ve bağımlılık taramaları gibi daha sıkı güvenlik önlemleri alması gerektiği konusunda uyarıyor.