Grupo Lazarus Vinculado con el Lavado de $750,000 en Ethereum

El Grupo Lázaro, un colectivo de hackers afiliado a Corea del Norte, ha intensificado sus actividades cibernéticas con dos nuevos incidentes de alto perfil.

El 13 de marzo, la empresa de seguridad blockchain CertiK informó que el grupo depositó 400 Ethereum (ETH), valorados en alrededor de $750,000, en el servicio de mezcla Tornado Cash, una herramienta utilizada para ocultar el origen de los activos criptográficos.

#CertiKInsight 🚨

Hemos detectado un depósito de 400 ETH en https://t.co/0lwPdz0OWi desde Ethereum proveniente de:
0xdB31a812261d599A3fAe74Ac44b1A2d4e5d00901
0xB23D61CeE73b455536EF8F8f8A5BadDf8D5af848.

El fondo rastrea la actividad del grupo Lazarus en la red Bitcoin.

¡Mantente alerta! pic.twitter.com/IHwFwt5uQs

— CertiK Alert (@CertiKAlert) 13 de marzo, 2025

Este movimiento se vinculó con su actividad previa en la red de Bitcoin, subrayando los esfuerzos continuos del grupo para lavar fondos tras ataques de alto perfil.

El Grupo Lazarus es notorio por su participación en importantes robos de criptomonedas, incluyendo el robo de $1.4 mil millones a Bybit en febrero de 2025 y el robo de $29 millones a Phemex en enero, según lo señalado por CoinTelegraph.

De acuerdo con la firma de análisis de blockchain Chainalysis, Lazarus ha robado más de $1.3 mil millones en activos criptográficos solo en 2024, más del doble de sus robos en 2023.

Mientras tanto, los investigadores de ciberseguridad en Socket han descubierto una nueva ola de paquetes maliciosos que apuntan al ecosistema npm, utilizado por los desarrolladores para gestionar las bibliotecas de JavaScript.

Los seis paquetes maliciosos, descargados más de 330 veces, se encontraron incrustados con una forma de malware conocida como BeaverTail. Estos paquetes imitan a las bibliotecas legítimas en una táctica engañosa llamada typosquatting, donde se utilizan ligeras variaciones en los nombres para engañar a los desarrolladores y que instalen código perjudicial.

Los investigadores de Socket observaron que las tácticas, técnicas y procedimientos en este ataque npm se alinean estrechamente con las operaciones conocidas de Lazarus. Los paquetes estaban diseñados para robar información sensible, incluyendo credenciales y datos de criptomonedas, mientras también implementaban puertas traseras en los sistemas afectados.

Específicamente, se enfocaron en archivos en navegadores como Chrome, Brave y Firefox, y datos de llavero en macOS, centrándose en los desarrolladores que pueden no notar el malware durante la instalación.

Este ataque destaca el uso continuado por parte de Lazarus de métodos sofisticados de infiltración, aprovechando nombres de confianza en el registro npm para explotar a la comunidad de código abierto. A pesar de las técnicas de ofuscación utilizadas, los investigadores pudieron detectar la intención maliciosa y marcaron los paquetes para su eliminación.

A medida que Lazarus continúa sus actividades cibercriminales, los expertos advierten que las organizaciones deben adoptar medidas de seguridad más estrictas, como la auditoría automatizada del código y el escaneo de dependencias, para prevenir ataques similares.