07 mars 2025Ravie LakshmananViolation de sécurité / crypto-monnaie

Safe {Wallet} a révélé que l’incident de cybersécurité qui a conduit à l’attaque de crypto de 1,5 milliard de dollars est une “attaque très sophistiquée et parrainée par l’État”, déclarant les acteurs de la menace nord-coréenne derrière le piratage ont pris des mesures pour effacer les traces de l’activité malveillante dans un effort pour entraver les efforts d’enquête.

Le plate-forme multi-signature (multisig)qui a encadré Google Cloud Mandiant pour effectuer une enquête médico-légale, a déclaré que l’attaque est le travail d’un groupe de piratage surnommé Tradertraitor, qui est également connu sous le nom de Jade Sleet, Pukchong et UNC4899.

“L’attaque impliquait le compromis d’un ordinateur portable de développeur en toute sécurité (‘Developer1’) et le détournement de jetons de session AWS pour contourner l’authentification multi-facteurs (‘MFA’) dit. “Ce développeur a été l’un des rares membres du personnel qui avait un accès plus élevé pour exercer ses fonctions.”

Cybersécurité

Une analyse plus approfondie a déterminé que les acteurs de la menace ont fait irruption dans la machine Apple MacOS du développeur le 4 février 2025, lorsque l’individu a téléchargé un projet Docker nommé “MC-basé-stock-invest-simulateur-main” probablement via une attaque d’ingénierie sociale. Le projet a communiqué avec un domaine “Getstockprice[.]com “qui a été enregistré sur Namecheap deux jours auparavant.

Il s’agit de preuves préalables indiquant que les acteurs de TraderTraitor ont trompé les développeurs d’échange de crypto-monnaie pour aider à dépanner un projet Docker après leur approche via Telegram. Le projet Docker est configuré pour supprimer une charge utile à la prochaine étape nommée plottwist qui permet un accès à distance persistant.

Il n’est pas clair si le même modus operandi a été employé dans les dernières attaques, car il a déclaré que «Wallet} a déclaré que« l’attaquant a supprimé ses logiciels malveillants et effacé l’histoire de bash dans le but de contrecarrer les efforts d’enquête ».

En fin de compte, les logiciels malveillants déployés sur le poste de travail auraient été utilisés pour mener la reconnaissance de l’environnement Web d’Amazon Services (AWS) de l’entreprise et des séances d’utilisateurs AWS actifs de l’entreprise pour effectuer leurs propres actions s’alignant avec le calendrier du développeur dans le but de voler sous le radar.

“L’utilisation de l’attaquant du compte AWS de Developer1 provient des adresses IP ExpressVPN avec des chaînes d’agent utilisateur contenant la distribution # kali.2024”, a-t-il déclaré. “Cette chaîne d’agent utilisateur indique l’utilisation de Kali Linux qui est conçu pour les praticiens de sécurité offensive.”

Les attaquants ont également été observés en déploiement du cadre mythique open source, ainsi que l’injection du code JavaScript malveillant sur le site Web {Wallet} Safe pour une période de deux jours entre les 19 et 21 février 2025.

Le PDG de Bybit Ben Zhou, dans un mise à jour Partagé plus tôt cette semaine, a déclaré que plus de 77% des fonds volés restent traçables et que 20% étaient devenus sombres et 3% ont été gelés. Il a crédité 11 parties, dont Mantle, Paraswap et ZachxBT, pour l’aider à geler les actifs. Environ 83% (417 348 ETH) ont été convertis en Bitcoin, le distribuant sur 6 954 portefeuilles.

Cybersécurité

Dans le sillage du piratage, 2025 est sur la bonne voie pour une année record pour les cambriolages de crypto-monnaie, les projets Web3 perdant déjà 1,6 milliard de dollars au cours des deux premiers mois seulement, une augmentation de 8x par rapport aux 200 millions de dollars cette fois l’année dernière, selon le données de la plate-forme de sécurité blockchain immunfise.

“La récente attaque souligne l’évolution de la sophistication des acteurs de la menace et des faits saillants Vulnérabilités critiques dans la sécurité Web3“, a déclaré la société.”

“Vérifier que la transaction que vous signalez entraînera le résultat prévu reste l’un des plus grands défis de sécurité de Web3, et ce n’est pas seulement un problème d’utilisateur et d’éducation – c’est un problème à l’échelle de l’industrie qui exige une action collective.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57