Lazarus intensifie ses attaques par tous les moyens
Lazarus intensifie ses attaques par tous les moyens
Tous les articles, guides et analyses publiés sur Cryptonaute sont méticuleusement vérifiés par notre équipe d’éditeurs et de journalistes experts dans leur domaine, afin de garantir leur exactitude et leur pertinence. Nous gardons et publions uniquement les contenus vérifiés par des sources fiables, que ce soit par un site de confiance, un expert avéré ou par la personne source elle-même.
Les hackers nord-coréens, dont fait partie le groupe Lazarus, ont multiplié leurs attaques dans l’industrie des crypto-monnaies. En quelques semaines, ils ont réalisé une série d’attaques, passant des piratages géants à des arnaques plus subtiles en visioconférence.
Derrière ces actions, c’est tout l’écosystème Web3 qui vacille, et il semble bien que personne n’est vraiment à l’abri.
Ces derniers temps, les groupes nord-coréens comme Lazarus se sont spécialisés dans les attaques d’ingénierie sociale en piégeant des fondateurs de projets crypto via de faux appels Zoom ou Google Meet.
Leur méthode est simple : se faire passer pour des investisseurs sérieux, fixer une réunion et, en plein appel, prétexter un problème audio pour envoyer un lien qui demande d’installer un soi-disant correctif, en réalité un malware.
Having audio issues on your Zoom call? That's not a VC, it's North Korean hackers.
Fortunately, this founder realized what was going on.
The call starts with a few "VCs" on the call. They send messages in the chat saying they can't hear your audio, or suggesting there's an… pic.twitter.com/ZnW8Mtof4F
— Nick Bax.eth (@bax1337) March 11, 2025
Ainsi, Nick Bax, de Security Alliance, explique que cette technique a déjà permis de voler des millions, et plusieurs fondateurs comme Giulio Xiloyannis (Mon Protocol) ou David Zhang (Stably) ont raconté avoir échappé de peu au piège.
Aussi, ce type d’attaque ne s’adresse plus à n’importe qui : les cibles sont des personnes clés, avec accès direct à des fonds ou à des données sensibles.
En parallèle, Lazarus continue de frapper fort en piratant les plus grosses plateformes crypto. En quelques mois, ils ont enchaîné le vol record de 1,4 milliard de dollars sur Bybit, 600 millions sur Ronin, et 29 millions sur Phemex.
#CertiKInsight 🚨
We have detected deposit of 400 ETH in https://t.co/0lwPdz0OWi on Ethereum from:0xdB31a812261d599A3fAe74Ac44b1A2d4e5d009010xB23D61CeE73b455536EF8F8f8A5BadDf8D5af848.
The fund traces to the Lazarus group's activity on the Bitcoin network.
Stay Vigilant! pic.twitter.com/IHwFwt5uQs
— CertiK Alert (@CertiKAlert) March 13, 2025
Même les cold wallet crypto, censés offrir la meilleure sécurité, sont désormais visés quand les infrastructures internes sont compromises. Une fois les fonds volés, Lazarus les blanchit via Tornado Cash et autres mélangeurs.
En 2024, plus de 1,3 milliard de dollars ont déjà été dérobés, selon Chainalysis. Ces attaques, de plus en plus techniques, montrent qu’aucune plateforme n’est intouchable.
L’une des dernières trouvailles de Lazarus est le partage de paquets npm bourrés de malwares qui visent directement les développeurs Web3.
D’après les chercheurs de la compagnie Socket, six paquets découverts, imitant des librairies JavaScript populaires, mais contenant des backdoors pour voler identifiants, clés privées et données crypto, en particulier sur les portefeuilles Solana et Exodus.
Même les navigateurs et les trousseaux macOS font l’objet d’attaques. Ces paquets ont été téléchargés plus de 300 fois avant d’être repérés, ce qui montre à quel point la menace est sérieuse.
En s’attaquant aux développeurs, Lazarus infiltre les projets dès leur création, mettant en danger les meilleures plateformes crypto sans qu’elles ne s’en rendent compte.
Pour se protéger, il faut d’abord apprendre à repérer ces pièges : ne jamais installer de logiciel à la demande d’un inconnu, même lors d’un appel pro, et vérifier chaque lien reçu. Côté développeurs, auditer les paquets npm utilisés et contrôler les dépendances est devenu indispensable.
Aussi, pour les plateformes, renforcer la sécurité interne, cloisonner les accès aux wallets, et surveiller les flux de fonds suspects sont des priorités.
Enfin, face à un groupe comme Lazarus supporté par l’État Nord-coréen, les réponses doivent être globales : les alertes conjointes USA, Japon, Corée du Sud montrent bien qu’aucun acteur ne peut lutter seul. La clé, c’est la coopération et une vigilance constante, car Lazarus s’adapte à chaque faille.
Auteur : Emmanuel Mounier
Date de publication : 13 March 2025