Hackers norte-coreanos roubam US$ 308 milhões em Bitcoin do DMM Bitcoin

Autoridades do Japão e dos Estados Unidos identificaram ciberatores norte-coreanos como os culpados por trás do roubo de US$ 308 milhões em criptomoedas do DMM Bitcoin em maio de 2024. Este assalto cibernético foi oficialmente atribuído à atividade de ameaça TraderTraitor ligada à Coreia do Norte, que também é reconhecido sob pseudônimos como Jade Sleet, UNC4899 e Slow Pisces.

TraderTraitor: uma ameaça persistente no setor Web3

As atividades do grupo de hackers geralmente envolvem esforços de engenharia social altamente coordenados visando vários funcionários da mesma organização simultaneamente, de acordo com declarações do Federal Bureau of Investigation (FBI) dos EUA, do Centro de Crimes Cibernéticos do Departamento de Defesa e da Agência Nacional de Polícia do Japão. Esta divulgação segue a decisão da DMM Bitcoin de encerrar suas operações no início deste mês como resultado direto da violação.

TraderTraitor é um grupo de ameaças persistentes que está ativo pelo menos desde 2020. Frequentemente tem como alvo empresas que operam no setor Web3, muitas vezes induzindo as vítimas a baixar aplicativos de criptomoeda infectados por malware. Essa abordagem permite que o grupo facilite o roubo em uma escala significativa.

Nos últimos anos, o grupo executou uma variedade de ataques aproveitando táticas de engenharia social relacionadas ao trabalho. Essas campanhas incluem alcançar alvos potenciais sob o pretexto de recrutar ou colaborar em projetos GitHub, o que muitas vezes resulta na distribuição de pacotes npm maliciosos. Uma das explorações mais infames do grupo foi o acesso não autorizado aos sistemas da JumpCloud no ano passado, visando um grupo seleto de clientes downstream.

Estratégias de ataque recentes e o roubo de Bitcoin DMM

O ataque ao DMM Bitcoin seguiu um padrão semelhante. Em março de 2024, um agente da TraderTraitor se passou por recrutador para abordar um funcionário da Ginco, uma empresa de software de carteira de criptomoeda com sede no Japão. O agente compartilhou um script Python malicioso hospedado no GitHub, disfarçado como parte de um teste pré-emprego. Infelizmente, o funcionário, que tinha acesso ao sistema de gerenciamento de carteira da Ginco, comprometeu inadvertidamente a segurança da empresa ao copiar o script para sua conta pessoal do GitHub.

Em meados de maio de 2024, os invasores intensificaram seus esforços explorando informações de cookies de sessão para se passarem pelo funcionário comprometido da Ginco. Isso lhes permitiu acessar o sistema de comunicações não criptografado da Ginco. No final de maio de 2024, os agentes da ameaça manipularam uma solicitação de transação legítima de um funcionário da DMM Bitcoin, roubando 4.502,9 BTC, avaliados em US$ 308 milhões na época. Os fundos roubados foram rastreados até carteiras sob controle da TraderTraitor.

Esta divulgação está alinhada com as descobertas da Chainalysis, uma empresa de inteligência blockchain, que também vinculou o hack do DMM Bitcoin aos cibercriminosos norte-coreanos. De acordo com a Chainalysis, os invasores exploraram vulnerabilidades de infraestrutura para executar saques não autorizados.

🚨🇰🇵HACKERS DA COREIA DO NORTE ALCANÇARAM GRANDE EM 2024

Eles dobraram seu lucro de 2023, roubando US$ 1,3 bilhão em criptomoeda este ano, de acordo com a Chainalysis.

Usando táticas como se passar por trabalhadores remotos de TI, eles se infiltraram em empresas para financiar os programas de armas de Pyongyang e evitar sanções.

Principal… pic.twitter.com/RppswOHaRC

-Mário Nawfal (@MarioNawfal) 23 de dezembro de 2024

Chainalysis relatou que os hackers transferiram milhões em criptomoedas para endereços intermediários antes de utilizar um serviço de mistura Bitcoin CoinJoin. Depois de ofuscar os fundos com sucesso, os invasores rotearam partes por meio de vários serviços de ponte. Os bens roubados acabaram por chegar ao HuiOne Guarantee, um mercado online afiliado ao Grupo HuiOne do Camboja, que já esteve implicado em atividades de crimes cibernéticos.

Enquanto isso, o Centro de Inteligência de Segurança AhnLab (ASEC) expôs recentemente outro grupo de ameaças norte-coreano. Um subcluster do Grupo Lazarus, conhecido como Andariel, tem implantado o backdoor SmallTiger para atingir soluções sul-coreanas de gerenciamento de ativos e centralização de documentos.

Esta série de revelações sublinha o papel crescente da Coreia do Norte no cibercrime, particularmente no sector das criptomoedas, à medida que continua a explorar técnicas sofisticadas e vulnerabilidades de infraestrutura para financiar as suas operações.

Simplificando os investimentos em moedas Meme com o índice Meme

Meme Index é uma plataforma descentralizada projetada para simplificar os investimentos no mercado de moedas meme, oferecendo exposição por meio de quatro índices exclusivos: Titan, Moonshot, MidCap e Frenzy. Cada índice é adaptado para acomodar diferentes níveis de risco, desde moedas meme estáveis ​​e bem estabelecidas, como DOGE e SHIB no índice Titan, até tokens exóticos de alto risco e alta recompensa no índice Frenzy. Os investidores podem usar o token $MEMEX para acessar esses índices e participar da governança, garantindo que a plataforma evolua com as tendências do mercado e as contribuições da comunidade.

O que diferencia o Meme Index é sua ênfase na diversificação e na tomada de decisões orientada pela comunidade. Em vez de investir em moedas meme individuais, os usuários ganham exposição a uma cesta selecionada de tokens, reduzindo o risco e capitalizando as tendências do mercado. Os detentores de $MEMEX também podem apostar seus tokens para obter altas recompensas APY, tanto durante a pré-venda quanto após o lançamento do token. Este mecanismo de staking não só aumenta os retornos, mas também apoia o crescimento da plataforma. Com privilégios de governança, os detentores de $MEMEX podem votar em propostas, incluindo adicionar ou remover moedas meme dos índices, tornando a plataforma dinâmica e centrada na comunidade.

Notícias relacionadas