Safe {Wallet} ha revelado que el incidente de seguridad cibernética que condujo al Bybit de $ 1.5 mil millones criptografía es un “ataque enormemente sofisticado y patrocinado por el estado”, afirmando que los actores de amenaza de Corea del Ártico detrás del hack tomaron medidas para borrar trazas de la actividad maliciosa en un esfuerzo por obstaculizar los esfuerzos de investigación.
La plataforma de firma múltiple (MultiSIG), que ha concertado a Google Cloud Mandiant para realizar una investigación forense, dijo que el ataque es el trabajo de un peña de piratería denominado comerciante, que todavía se conoce como Jade Sleet, Pukchong y UNC4899.
“El ataque implicó el compromiso de una computadora portátil de desarrollador (‘desarrollador1’) y el secuestro de tokens de sesión de AWS para evitar la autenticación multifactor (‘MFA’)”, dijo. “Este desarrollador fue uno de los pocos personal que tenía longevo ataque para cumplir con sus funciones”.
Un prospección posterior ha determinado que los actores de amenaza irrumpieron en la máquina Apple MacOS del desarrollador el 4 de febrero de 2025, cuando el individuo descargó un tesina Docker llamado “MC basado-stock-simulator-main” probablemente a través de un ataque de ingeniería social. El tesina se comunicó con un dominio “GetstockPrice (.) Com” que se registró en Namecheap dos días antiguamente.
Esta es una evidencia previa que indica que los actores de los comerciantes han engañado a los desarrolladores de intercambio de criptomonedas para que ayuden a solucionar un tesina de Docker posteriormente de acercarse a ellos a través de Telegram. El tesina Docker está configurado para soltar una carga útil de la próxima etapa llamamiento Plottwist que permite un ataque remoto persistente.
No está claro si se empleó el mismo modus operandi en los últimos ataques, ya que Safe {Wallet} dijo “el atacante eliminó su malware y despejó la historia de Bash en un esfuerzo por frustrar los esfuerzos de investigación”.
En última instancia, se dice que el malware implementado en la fase de trabajo se ha utilizado para tolerar a final el gratitud del entorno de servicios web de Amazon (AWS) de la compañía y secuestrar sesiones activas de usuarios de AWS para realizar sus propias acciones que se alinean con el horario del desarrollador en un intento de explotar bajo el radar.
“El uso del atacante de la cuenta AWS de Developer1 se originó en las direcciones IP de ExpressVPN con cadenas de agentes de agraciado que contienen distribución#kali.2024”, dijo. “Esta sujeción de agente de agraciado indica el uso de Kali Linux que está diseñado para profesionales de seguridad ofensivos”.
Incluso se ha observado que los atacantes implementan el situación mítico de código rajado, así como inyectando un código de JavaScript malvado en el sitio web Safe {Wallet} durante un período de dos días entre el 19 y el 21 de febrero de 2025.
El CEO de Bybit, Ben Zhou, en una aggiornamento compartida a principios de esta semana, dijo que más del 77% de los fondos robados siguen siendo rastreables, y que el 20% se ha oscurecido y el 3% se ha congelado. Acreditó a 11 fiestas, incluidas Mantle, Paraswap y Zachxbt, por ayudarlo a congelar los activos. Rodeando del 83% (417,348 ETH) se ha convertido en Bitcoin, distribuyéndolo en 6,954 billeteras.
A raíz del truco, 2025 está en camino de un año récord para los atracones de criptomonedas, con proyectos de Web3 que ya están perdiendo la asombrosa cantidad de $ 1.6 mil millones en los primeros dos meses solo, un aumento de 8X de los $ 200 millones esta vez el año pasado, según datos de la plataforma de seguridad de Blockchain InmuneFi.
“El nuevo ataque subraya la sofisticación en cambio de los actores de amenazas y destaca las vulnerabilidades críticas en la seguridad de Web3”, dijo la compañía.
“Compulsar que la transacción que está firmando resultará en el resultado previsto seguirá siendo uno de los mayores desafíos de seguridad en Web3, y esto no es solo un problema de agraciado y educación, es un problema de toda la industria que exige una influencia colectiva”.
