|  |  |  |  |  |  |  | 

Gli hacker legati alla Corea del Nord hanno rubato circa 2 miliardi di dollari in criptovalute nel 2025

DiRedazione
Tempo di lettura: 3 minuti

Gli hacker legati alla Corea del Nord hanno rubato circa 2 miliardi di dollari in criptovalute nel 2025, segnando un record con un aumento del 51% rispetto al 2024. Questa cifra rappresenta il 60% dei furti totali mondiali, pari a 3,4 miliardi di dollari.

Dati Principali

Gli attacchi sono diminuiti del 74% rispetto all’anno precedente, ma ogni incursione è stata più impattante, con un focus su grandi piattaforme. Il totale accumulato dal 2017 supera i 6,75 miliardi di dollari, utilizzati per finanziare il regime e aggirare sanzioni.

Principali Attacchi

Il furto più grande ha colpito Bybit a febbraio, con 1,5 miliardi di dollari sottratti sfruttando una vulnerabilità in un tool wallet di terze parti. I tre hack maggiori rappresentano il 69% delle perdite totali del settore.

Strategie Usate

Pyongyang impiega IT worker infiltrati nelle aziende crypto e tattiche di social engineering, come finte assunzioni o pitch da investitori. Il riciclaggio segue un ciclo di 45 giorni, privilegiando servizi cinesi, bridge cross-chain e mixer.

Impatti e Contesto

Questi furti sostengono il programma nucleare nordcoreano, con gruppi come Lazarus Group affiliati al Reconnaissance General Bureau. Nel 2025, i compromessi di wallet personali sono aumentati a 158.000 casi, ma con valore minore per vittima.

Gli hacker nordcoreani del gruppo Lazarus, noti come “TraderTraitor” dall’FBI, hanno colpito Bybit il 21 febbraio 2025 rubando circa 1,5 miliardi di dollari in Ethereum e stETH. L’attacco ha sfruttato una vulnerabilità nella supply chain di Safe{Wallet}, un fornitore di Bybit, compromettendo una macchina di sviluppo per iniettare codice malevolo.

Modalità d’Ingresso

Gli attaccanti hanno hackerato un computer di un developer Safe{Wallet}, ottenendo accesso a un account usato da Bybit per firmare transazioni. Hanno iniettato JavaScript malevolo nel sito app.safe.global, attivato solo durante il trasferimento routine di Bybit di 401.000 ETH, alterando l’indirizzo del wallet di destinazione.

Esecuzione del Furto

Bybit ha creduto di inviare i fondi al proprio wallet, ma questi sono finiti sui wallet controllati dagli hacker in pochi minuti. L’operazione è stata rapida e mirata, con payload personalizzato per le condizioni specifiche di Bybit.

Fase di Riciclaggio

Immediatamente dopo, gli hacker hanno convertito parte degli asset in Bitcoin e dispersi su migliaia di indirizzi Ethereum e altre blockchain, usando “chain hopping” per offuscare le tracce. L’FBI ha pubblicato oltre 50 indirizzi Ethereum collegati per bloccare transazioni derivate. Bybit ha rimborsato gli utenti con prestiti, mantenendo solvibilità.

Sygnia e Verichains hanno condotto indagini forensi sul hack di Bybit utilizzando analisi blockchain, reverse engineering di smart contract malevoli e tracciamento di transazioni on-chain. Non emergono dettagli su tool specifici proprietari, ma le loro metodologie hanno incluso l’esame di log AWS, archivi pubblici come Wayback Machine e correlazione di wallet con pattern noti di Lazarus Group.

Tecniche di Sygnia

Sygnia ha identificato l’iniezione di JavaScript malevolo su app.safe.global attraverso analisi forense di macchine developer compromesse e storage cloud AWS S3/CloudFront. Hanno tracciato il codice “ghost” che alterava transazioni solo in condizioni specifiche, confermando l’assenza di breach diretto su Bybit.

Contributi di Verichains

Verichains ha analizzato i contratti malevoli deployati il 18 febbraio, rivelando logica nascosta per upgrade di wallet multi-sig e timing con trasferimenti programmati. Hanno supportato il tracciamento di asset dispersi su Ethereum e altre chain, identificando sovrapposizioni con furti nordcoreani precedenti.

Sygnia ha condotto l’indagine forense sul hack di Bybit analizzando cache del browser Chrome, log AWS S3/CloudFront e archivi web pubblici come Wayback Machine e URLScan per ricostruire l’iniezione di codice JavaScript malevolo. Hanno utilizzato tool di comparazione come BeyondCompare per evidenziare differenze tra versioni legittime e modificate dei file JS, e beautifier per decodificare il codice obfuscato con condizioni di attivazione specifiche per i wallet di Bybit.

Analisi Endpoint

L’esame dei tre host dei signer ha rivelato snippet di risorse JS dal dominio app.safe.global, con timestamp di modifica al 19 febbraio 2025, confermati tramite cache browser e header HTTP da URLScan. Non sono emerse compromissioni dirette su infrastruttura Bybit, focalizzandosi su persistenza accusa e scope of compromise.

Tracciamento Cloud

Sygnia ha verificato accessi AWS tramite token compromessi da workstation macOS, correlati a social engineering su developer Safe{Wallet}, senza dettagli su tool specifici ma con enfasi su session token hijacking e MythicAgents open-source. L’indagine ha identificato rimozione del codice malevolo due minuti post-transazione per coprire tracce.

×

\ Get the latest news /

Ti potrebbero interessare anche:

Articoli simili

5 2 voti
Valutazione dell'articolo
Iscriviti
Notificami
guest
0 Commenti
Vecchi
Più recenti Le più votate
Feedback in linea
Visualizza tutti i commenti