La Oficina Federal de Investigaci\u00f3n de los Estados Unidos (FBI) vincul\u00f3 formalmente el r\u00e9cord de $ 1.5 mil millones Bybit Hack con actores de amenaza norcoreana, como el CEO de la compa\u00f1\u00eda Ben Zhou declarado<\/a> Una “guerra contra L\u00e1zaro”.<\/p>\n La agencia dijo que la Rep\u00fablica Popular Democr\u00e1tica de Corea (Corea del Norte) fue responsable del robo de los activos virtuales del intercambio de criptomonedas, atribuy\u00e9ndolo a un cl\u00faster espec\u00edfico que rastrea como comerciante, que tambi\u00e9n se conoce como Jade Sleet, Slow Piscis y UNC4899.<\/p>\n “Los actores comerciales est\u00e1n procediendo r\u00e1pidamente y han convertido algunos de los activos robados a Bitcoin y otros activos virtuales dispersos en miles de direcciones en m\u00faltiples blockchains”, el FBI dicho<\/a>. “Se espera que estos activos se laven a\u00fan m\u00e1s y eventualmente se conviertan en moneda fiduciaria”.<\/p>\n Vale la pena se\u00f1alar que el cl\u00faster comerciante fue implicado previamente por las autoridades japonesas y estadounidenses en el robo de criptomonedas por valor de $ 308 millones de la compa\u00f1\u00eda de criptomonedas DMM Bitcoin en mayo de 2024.<\/p>\n El actor de amenaza es conocido por atacar a las empresas en el sector Web3, a menudo enga\u00f1ando a las v\u00edctimas para que descarguen aplicaciones de criptomonedas con malware para facilitar el robo. Alternativamente, tambi\u00e9n se ha encontrado que orquesta campa\u00f1as de ingenier\u00eda social con temas de empleo que conducen al despliegue de paquetes de NPM maliciosos.<\/p>\n Bybit, mientras tanto, ha lanz\u00f3 un programa de recompensas<\/a> Para ayudar a recuperar los fondos robados, mientras llama a Exch para negarse a cooperar en la sonda y ayudar a congelar los activos. <\/p>\n “Los fondos robados se han transferido a destinos no rastreables o congelables, como intercambios, mezcladores o puentes, o convertidos en estables que pueden congelarse”, dijo. “Necesitamos la cooperaci\u00f3n de todas las partes involucradas para congelar los fondos o proporcionar actualizaciones sobre su movimiento para que podamos continuar rastreando”.<\/p>\n La compa\u00f1\u00eda con sede en Dubai tambi\u00e9n tiene compartido<\/a> Las conclusiones de dos investigaciones realizadas por Sygnia y Verichains, vinculando el truco con el Grupo Lazarus.<\/p>\n “La investigaci\u00f3n forense de los hosts de los tres firmantes sugiere que la causa ra\u00edz del ataque es un c\u00f3digo malicioso que se origina en la infraestructura de Safe {Wallet}”, dijo Sygnia.<\/p>\n VieChains se\u00f1al\u00f3 que “el archivo JavaScript benigno de App.Safe.Global parece haber sido reemplazado por c\u00f3digo malicioso el 19 de febrero de 2025 a las 15:29:25 UTC, espec\u00edficamente dirigido a Ethereum MultiSig Cold Wallet of BYBIT”, y que el “Ataque se dise\u00f1\u00f3 para activar durante la siguiente transacci\u00f3n por BIBit, que ocurri\u00f3 el 21 de febrero, 2025, 2025, At 14:13 de UTC.”<\/p>\n Se sospecha que la cuenta de AWS S3 o CloudFront\/API de SAFE. El global probablemente se filtr\u00f3 o comprometi\u00f3, allanando as\u00ed el camino para un ataque de la cadena de suministro.<\/p>\n En una declaraci\u00f3n separada, la plataforma de billetera multisig Safe {Wallet} dijo que el ataque se llev\u00f3 a cabo comprometiendo una de las m\u00e1quinas de sus desarrolladores que afect\u00f3 una cuenta operada por BYBIT. La compa\u00f1\u00eda se\u00f1al\u00f3 adem\u00e1s que implement\u00f3 medidas de seguridad adicionales para mitigar el vector de ataque.<\/p>\n El ataque “se logr\u00f3 a trav\u00e9s de una m\u00e1quina comprometida de un desarrollador seguro {billetera} que resulta en la propuesta de una transacci\u00f3n maliciosa disfrazada”, “TI” dicho<\/a>. “Lazarus es un grupo de piratas inform\u00e1ticos norcoreanos patrocinados por el estado que es bien conocido por los sofisticados ataques de ingenier\u00eda social contra las credenciales de desarrolladores, a veces combinados con haza\u00f1as de d\u00eda cero”.<\/p>\n Actualmente no est\u00e1 claro c\u00f3mo se viol\u00f3 el sistema del desarrollador, aunque un nuevo an\u00e1lisis de Silent Push ha descubierto que el Grupo Lazarus registr\u00f3 el dominio Bybit-Assessment[.]Com a las 22:21:57 el 20 de febrero de 2025, unas horas antes de que tuviera lugar el robo de criptomonedas.<\/p>\n Registros de Whois espect\u00e1culo<\/a> que el dominio se registr\u00f3 utilizando la direcci\u00f3n de correo electr\u00f3nico “Trevorgreer9312@gmail[.]com, que ha sido identificado previamente como una persona utilizada por el grupo de L\u00e1zaro en conexi\u00f3n<\/a> con otra campa\u00f1a denominada entrevista contagiosa.<\/p>\n “Parece que el atraco Bybit fue realizado por el Grupo de actores de amenaza de la RPDK conocido como comerciante, tambi\u00e9n conocido como Jade Sleet y Slow Piscis, mientras que la estafa de la entrevista cripto dicho<\/a>.<\/p>\n “Las v\u00edctimas generalmente se abordan a trav\u00e9s de LinkedIn, donde est\u00e1n dise\u00f1adas socialmente para participar en entrevistas falsas de trabajo. Estas entrevistas sirven como punto de entrada para la implementaci\u00f3n de malware espec\u00edfica, la recolecci\u00f3n de credenciales y un mayor compromiso de los activos financieros y corporativos”.<\/p>\n Se estima que los actores vinculados a Corea del Norte han robado m\u00e1s de $ 6 mil millones en activos criptogr\u00e1ficos desde 2017. Los $ 1.5 mil millones robados la semana pasada superan los $ 1.34 mil millones que los actores de amenaza robaron de 47 atracones de criptomonedas en todos los 2024.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Bybit-Hack-rastreado-para-un-ataque-de-cadena-de-suministro.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n