Il recente attacco informatico a Bybit, che ha portato al furto di criptovalute per un valore record di 1,5 miliardi di dollari, è stato ufficialmente attribuito a gruppi di hacker nordcoreani. La conferma arriva dall'FBI, che ha collegato il furto al gruppo noto come TraderTraitor, conosciuto anche sotto i nomi di Jade Sleet, Slow Pisces e UNC4899. Questo gruppo ha recentemente convertito parte dei beni rubati in Bitcoin e altre criptovalute, utilizzando migliaia di indirizzi su diversi blockchain per disperdere i fondi.

L'attacco a Bybit non è un caso isolato

TraderTraitor era già stato implicato in un furto di criptovalute da 308 milioni di dollari presso l'azienda DMM Bitcoin nel 2024. Il gruppo è noto per colpire società del settore Web3, spesso ingannando le vittime a scaricare app di criptovalute infette da malware. Inoltre, ha orchestrato campagne di ingegneria sociale a tema lavorativo che portano all'installazione di pacchetti npm malevoli.

Bybit ha reagito al furto lanciando un programma di ricompensa per chiunque possa aiutare a recuperare i fondi rubati. Tuttavia, l'azienda ha criticato la mancata collaborazione di eXch, che si è rifiutata di collaborare nelle indagini e di congelare gli asset coinvolti. I fondi rubati sono stati trasferiti verso destinazioni non tracciabili o congelabili, come exchange, mixer o convertiti in stablecoin, rendendo difficile il loro recupero.

Indagine forense

Un'indagine forense condotta da Sygnia e Verichains ha rilevato che l'attacco è stato facilitato da un codice malevolo inserito nell'infrastruttura di Safe{Wallet}, utilizzata da Bybit. Il file JavaScript benigno di app.safe.global è stato sostituito con codice malevolo, mirato specificamente al portafoglio Ethereum Multisig Cold di Bybit.

Dettagli dell'attacco

In un comunicato, Safe{Wallet} ha spiegato che l'attacco è stato perpetrato compromettendo un computer di uno dei loro sviluppatori, che ha portato alla proposta di una transazione dannosa camuffata. L'attacco è stato ulteriormente favorito dalla compromissione di un account AWS S3 o CloudFront di Safe.Global, aprendo la strada a un attacco alla supply chain.

L'evento ha messo in luce la crescente sofisticazione delle tattiche di ingegneria sociale impiegate dai gruppi di hacker sponsorizzati dallo stato nordcoreano, come Lazarus, noti per attacchi mirati alle credenziali degli sviluppatori, talvolta combinati con exploit di tipo zero-day.