北朝鮮のハッカー集団ラザルス、ミキサーを利用して仮想通貨を移動

北朝鮮に関連するハッカー集団ラザルスが、大規模なハッキングの後、仮想通貨をミキシングサービス経由で移動させている。

3月13日、ブロックチェーンセキュリティ企業サーティックは、約75万ドル相当の400ETH（イーサリアム）がトルネードキャッシュのミキシングサービスに送金されたことを Xで報告した 。

「この資金の出所は、ラザルス・グループがビットコインネットワーク上で行った活動に関連している」と指摘している。

ラザルスは、2月21日に発生したバイビットの ハッキング事件 に関与しており、 この事件 では14億ドル相当の仮想通貨が盗まれた。

また、1月に発生した2900万ドル相当のフェメックスのハッキングにも 関与しており 、資金洗浄を続けている。

ラザルス関連の仮想通貨の動き  Source: サーティック  

さらに、2022年に発生した6億ドル規模のローニン・ネットワークの ハッキング など、過去の大規模な仮想通貨ハッキング事件にもラザルスが関与しているとされる。

ブロックチェーン分析企業 チェイナリシスのデータ によると、2024年に北朝鮮のハッカーは47件のハッキング事件を通じて13億ドル以上の仮想通貨を盗み、2023年の被害額を倍以上にのぼる。

ラザルスの新たなマルウェアが発見される

サイバーセキュリティ企業Socketの研究者によると、ラザルス・グループは開発者環境に侵入し、認証情報の窃取、仮想通貨データの抽出、バックドアの設置を目的とした6種類の新たな悪意あるパッケージを 展開している 。

攻撃対象は、JavaScriptのパッケージ管理システム「Node Package Manager（NPM）」で、広く使用されるライブラリを装うことで開発者を欺く手法（タイポスクワッティング）を用いている。

研究者によると、マルウェア「BeaverTail」は、正規のライブラリと酷似した名前を使用し、開発者を騙してインストールさせる手口を取っている。

また、このマルウェアは仮想通貨ウォレットも標的にしており、特にソラナウォレットとエクソダスウォレットをターゲットにしている。

Code snippet showing Solana wallet attacks. Source: Socket

攻撃は、Google Chrome、Brave、Firefoxのブラウザ内のファイルやmacOSのキーチェーンデータを標的としており、悪意あるパッケージを知らずにインストールしてしまった開発者を狙う手法を取っている。

研究者は、「この攻撃がラザルス・グループによるものであると断定するのは困難だが、NPMへの攻撃で見られる戦術、技術、手法はラザルスの過去の作戦と非常に類似している」と述べている。