Ciberseguridad 360 | El FBI afirma que Corea del Norte hackeó Bybit mientras surgen detalles de un robo de 1.500 millones de dólares

La Oficina Federal de Investigaciones de Estados Unidos (FBI) vincul� formalmente el hackeo r�cord de 1.500 millones de d�lares a Bybit con actores de amenazas norcoreanos, mientras que el CEO de la compa��a, Ben Zhou, declar� una "guerra contra Lazarus".

La agencia dijo que la Rep�blica Popular Democr�tica de Corea (Corea del Norte) fue responsable del robo de los activos virtuales del intercambio de criptomonedas, atribuy�ndolo a un grupo espec�fico que rastrea como TraderTraitor, al que tambi�n se conoce como Jade Sleet, Slow Pisces y UNC4899.

"Los actores de TraderTraitor est�n actuando r�pidamente y han convertido algunos de los activos robados en Bitcoin y otros activos virtuales dispersos en miles de direcciones en m�ltiples cadenas de bloques", dijo el FBI . "Se espera que estos activos sean lavados a�n m�s y eventualmente convertidos en moneda fiduciaria".

Vale la pena se�alar que el grupo TraderTraitor fue previamente implicado por las autoridades japonesas y estadounidenses en el robo de criptomonedas por valor de $ 308 millones de la empresa de criptomonedas DMM Bitcoin en mayo de 2024.

El actor de amenazas es conocido por atacar a empresas del sector Web3, a menudo enga�ando a las v�ctimas para que descarguen aplicaciones de criptomonedas cargadas con malware para facilitar el robo. Alternativamente, tambi�n se ha descubierto que organiza campa�as de ingenier�a social con tem�tica laboral que conducen a la implementaci�n de paquetes npm maliciosos.

Mientras tanto, ByBit ha lanzado un programa de recompensas para ayudar a recuperar los fondos robados, al tiempo que critica a eXch por negarse a cooperar en la investigaci�n y ayudar a congelar los activos.

"Los fondos robados se han transferido a destinos imposibles de rastrear o congelables, como casas de cambio, mezcladores o puentes, o se han convertido en monedas estables que se pueden congelar", afirm�. "Necesitamos la cooperaci�n de todas las partes involucradas para congelar los fondos o proporcionar actualizaciones sobre su movimiento para que podamos seguir rastre�ndolos".

La compa��a con sede en Dubai tambi�n ha compartido las conclusiones de dos investigaciones realizadas por Sygnia y Verichains, que vinculan el hackeo con el Grupo Lazarus.

"La investigaci�n forense de los hosts de los tres firmantes sugiere que la causa ra�z del ataque es un c�digo malicioso originado en la infraestructura de Safe{Wallet}", dijo Sygnia.

Verichains se�al� que "el archivo JavaScript benigno de app.safe.global parece haber sido reemplazado por un c�digo malicioso el 19 de febrero de 2025, a las 15:29:25 UTC, apuntando espec�ficamente a Ethereum Multisig Cold Wallet de Bybit", y que el "ataque fue dise�ado para activarse durante la pr�xima transacci�n de Bybit, que ocurri� el 21 de febrero de 2025, a las 14:13:35 UTC".

Se sospecha que la cuenta/clave API de AWS S3 o CloudFront de Safe.Global probablemente se filtr� o se vio comprometida, allanando as� el camino para un ataque a la cadena de suministro.

En una declaraci�n aparte, la plataforma de billetera multisig Safe{Wallet} dijo que el ataque se llev� a cabo comprometiendo una de las m�quinas de sus desarrolladores, lo que afect� a una cuenta operada por Bybit. La compa��a se�al� adem�s que implement� medidas de seguridad adicionales para mitigar el vector de ataque.

El ataque "se llev� a cabo a trav�s de una m�quina comprometida de un desarrollador de Safe{Wallet}, lo que dio como resultado la propuesta de una transacci�n maliciosa disfrazada", dijo . "Lazarus es un grupo de piratas inform�ticos norcoreano patrocinado por el estado que es bien conocido por sus sofisticados ataques de ingenier�a social a las credenciales de los desarrolladores, a veces combinados con exploits de d�a cero".

Actualmente no est� claro c�mo se vulner� el sistema del desarrollador, aunque un nuevo an�lisis de Silent Push descubri� que Lazarus Group registr� el dominio bybit-assessment[.]com a las 22:21:57 del 20 de febrero de 2025, unas horas antes de que se produjera el robo de criptomonedas.

Los registros WHOIS muestran que el dominio fue registrado utilizando la direcci�n de correo electr�nico "trevorgreer9312@gmail[.]com", que hab�a sido previamente identificada como una persona utilizada por Lazarus Group en relaci�n con otra campa�a denominada Entrevista Contagiosa.

"Parece que el robo de Bybit fue llevado a cabo por el grupo de actores de amenazas de la RPDC conocido como TraderTraitor, tambi�n conocido como Jade Sleet y Slow Pisces, mientras que la estafa de la entrevista criptogr�fica est� siendo liderada por un grupo de actores de amenazas de la RPDC conocido como Contagious Interview , tambi�n conocido como Famous Chollima", dijo la compa��a .

"Las v�ctimas suelen ser contactadas a trav�s de LinkedIn, donde se las convence mediante ingenier�a social para que participen en entrevistas de trabajo falsas. Estas entrevistas sirven como punto de entrada para la implementaci�n de malware dirigido, la recolecci�n de credenciales y la posterior vulneraci�n de activos financieros y corporativos".

Se estima que los actores vinculados a Corea del Norte han robado m�s de 6 mil millones de d�lares en criptoactivos desde 2017. Los 1.500 millones de d�lares robados la semana pasada superan los 1.340 millones de d�lares que los actores de amenazas robaron en 47 robos de criptomonedas en todo 2024.

Fuente: TheHackerNews.