Radiant Capital a déclaré qu'un piratage de 50 millions de dollars sur sa plateforme de finance décentralisée (DeFi) en octobre a été effectué via un logiciel malveillant envoyé via Telegram par un pirate informatique aligné sur la Corée du Nord se faisant passer pour un ex-entrepreneur.
Radiant a déclaré dans une mise à jour du 6 décembre de l'enquête en cours que son entreprise de cybersécurité mandatée, Mandiant, a évalué “avec un haut degré de confiance que cette attaque est attribuable à un acteur de menace en lien avec la République populaire démocratique de Corée (RPDC).”
La plateforme a déclaré qu'un développeur de Radiant avait reçu un message Telegram avec un fichier zip d'un "ancien contractant de confiance" le 11 septembre demandant des commentaires sur une nouvelle entreprise qu'ils prévoyaient.
« À la suite de l'examen, ce message est suspecté d'avoir été envoyé par un acteur de menace aligné sur la RPDC se faisant passer pour l'ancien sous-traitant », a-t-il déclaré. « Ce fichier ZIP, lorsqu'il a été partagé pour obtenir des commentaires parmi d'autres développeurs, a finalement livré un logiciel malveillant qui a facilité l'intrusion ultérieure. »
Le 16 octobre, la plateforme DeFi a été contrainte de suspendre ses marchés de prêt après qu'un pirate ait pris le contrôle des clés privées et des contrats intelligents de plusieurs signataires.
Des groupes de pirates informatiques nord-coréens ont été pris en train de cibler les utilisateurs de macOS avec une nouvelle campagne de logiciels malveillants utilisant des courriels de phishing, de fausses applications PDF et une technique pour contourner les vérifications de sécurité d'Apple le 12 novembre.
En octobre, des pirates nord-coréens ont également été surpris en train d'exploiter une vulnérabilité dans Chrome de Google pour voler les informations d'identification du portefeuille de crypto-monnaie.
Source:Radiant Capital
Radiant a déclaré que le fichier n'a pas suscité d'autres soupçons parce que "les demandes d'examen de PDF sont courantes dans un cadre professionnel" et que les développeurs "partagent fréquemment des documents dans ce format".
Le domaine associé au fichier ZIP a également usurpé le site web légitime de l'entrepreneur.
Plusieurs périphériques de développement Radiant ont été compromis lors de l'attaque, et les interfaces frontales affichaient des données de transaction bénignes tandis que des transactions malveillantes étaient signées en arrière-plan.
« Les vérifications et simulations traditionnelles n'ont montré aucune différence évidente, rendant la menace pratiquement invisible pendant les étapes de révision normales », a-t-il ajouté.
« Cette tromperie a été réalisée de manière si transparente que même avec les meilleures pratiques standard de Radiant, telles que la simulation de transactions dans Tenderly, la vérification des données de la charge utile et le suivi des procédures opérationnelles standard de l'industrie à chaque étape, les attaquants ont pu compromettre plusieurs appareils de développeurs », a écrit Radiant.
Un exemple de PDF leurres qui pourraient être utilisés par un groupe de pirates malveillants. Source: Radiant Capital.
Radiant Capital estime que l'acteur de menace responsable est connu sous le nom de “UNC4736”, également connu sous le nom de “Citrine Sleet”—supposé être aligné sur l'agence principale de renseignement de la Corée du Nord, le Bureau général de reconnaissance (RGB), et supposé être un sous-groupe du collectif de piratage le Groupe Lazarus.
Les pirates ont déplacé environ 52 millions de dollars des fonds volés lors de l'incident du 24 octobre.
“Cet incident démontre que même des SOP rigoureuses, des portefeuilles matériels, des outils de simulation comme Tenderly et une revue humaine attentive peuvent être contournés par des acteurs de menace très avancés”, a écrit Radiant Capital dans sa mise à jour.
Related:Le piratage de Radiant Capital de 58 millions de dollars, une épreuve coûteuse pour DeFi
«La dépendance vis-à-vis de la signature aveugle et des vérifications en frontal qui peuvent être falsifiées exige le développement de solutions matérielles plus solides pour décoder et valider les charges utiles de transaction», a-t-il ajouté.
Ce n'est pas la première fois que Radiant a été compromis cette année. La plateforme a interrompu les marchés de prêt en janvier après une exploitation de prêt flash de 4,5 millions de dollars.
Après les deux exploits de cette année, la valeur totale verrouillée de Radiant a considérablement chuté, passant de plus de 300 millions de dollars fin de l'année dernière à environ 5,81 millions de dollars au 9 décembre, selon DefiLlama.
Magazine:BTC hits $100K, Trump taps Paul Atkins for SEC chair, and more: Hodler’s Digest, Dec. 1 – 7
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Radiant Capital affirme que la Corée du Nord s'est fait passer pour un ancien entrepreneur pour réaliser un piratage de 50 millions de dollars
Radiant Capital a déclaré qu'un piratage de 50 millions de dollars sur sa plateforme de finance décentralisée (DeFi) en octobre a été effectué via un logiciel malveillant envoyé via Telegram par un pirate informatique aligné sur la Corée du Nord se faisant passer pour un ex-entrepreneur.
Radiant a déclaré dans une mise à jour du 6 décembre de l'enquête en cours que son entreprise de cybersécurité mandatée, Mandiant, a évalué “avec un haut degré de confiance que cette attaque est attribuable à un acteur de menace en lien avec la République populaire démocratique de Corée (RPDC).”
La plateforme a déclaré qu'un développeur de Radiant avait reçu un message Telegram avec un fichier zip d'un "ancien contractant de confiance" le 11 septembre demandant des commentaires sur une nouvelle entreprise qu'ils prévoyaient.
« À la suite de l'examen, ce message est suspecté d'avoir été envoyé par un acteur de menace aligné sur la RPDC se faisant passer pour l'ancien sous-traitant », a-t-il déclaré. « Ce fichier ZIP, lorsqu'il a été partagé pour obtenir des commentaires parmi d'autres développeurs, a finalement livré un logiciel malveillant qui a facilité l'intrusion ultérieure. »
Le 16 octobre, la plateforme DeFi a été contrainte de suspendre ses marchés de prêt après qu'un pirate ait pris le contrôle des clés privées et des contrats intelligents de plusieurs signataires.
Des groupes de pirates informatiques nord-coréens ont été pris en train de cibler les utilisateurs de macOS avec une nouvelle campagne de logiciels malveillants utilisant des courriels de phishing, de fausses applications PDF et une technique pour contourner les vérifications de sécurité d'Apple le 12 novembre.
En octobre, des pirates nord-coréens ont également été surpris en train d'exploiter une vulnérabilité dans Chrome de Google pour voler les informations d'identification du portefeuille de crypto-monnaie.
Source: Radiant Capital![Hackers, North Korea]()
Radiant a déclaré que le fichier n'a pas suscité d'autres soupçons parce que "les demandes d'examen de PDF sont courantes dans un cadre professionnel" et que les développeurs "partagent fréquemment des documents dans ce format".
Le domaine associé au fichier ZIP a également usurpé le site web légitime de l'entrepreneur.
Plusieurs périphériques de développement Radiant ont été compromis lors de l'attaque, et les interfaces frontales affichaient des données de transaction bénignes tandis que des transactions malveillantes étaient signées en arrière-plan.
« Les vérifications et simulations traditionnelles n'ont montré aucune différence évidente, rendant la menace pratiquement invisible pendant les étapes de révision normales », a-t-il ajouté.
« Cette tromperie a été réalisée de manière si transparente que même avec les meilleures pratiques standard de Radiant, telles que la simulation de transactions dans Tenderly, la vérification des données de la charge utile et le suivi des procédures opérationnelles standard de l'industrie à chaque étape, les attaquants ont pu compromettre plusieurs appareils de développeurs », a écrit Radiant.
Un exemple de PDF leurres qui pourraient être utilisés par un groupe de pirates malveillants. Source: Radiant Capital.![Hackers, North Korea]()
Radiant Capital estime que l'acteur de menace responsable est connu sous le nom de “UNC4736”, également connu sous le nom de “Citrine Sleet”—supposé être aligné sur l'agence principale de renseignement de la Corée du Nord, le Bureau général de reconnaissance (RGB), et supposé être un sous-groupe du collectif de piratage le Groupe Lazarus.
Les pirates ont déplacé environ 52 millions de dollars des fonds volés lors de l'incident du 24 octobre.
“Cet incident démontre que même des SOP rigoureuses, des portefeuilles matériels, des outils de simulation comme Tenderly et une revue humaine attentive peuvent être contournés par des acteurs de menace très avancés”, a écrit Radiant Capital dans sa mise à jour.
Related: Le piratage de Radiant Capital de 58 millions de dollars, une épreuve coûteuse pour DeFi
«La dépendance vis-à-vis de la signature aveugle et des vérifications en frontal qui peuvent être falsifiées exige le développement de solutions matérielles plus solides pour décoder et valider les charges utiles de transaction», a-t-il ajouté.
Ce n'est pas la première fois que Radiant a été compromis cette année. La plateforme a interrompu les marchés de prêt en janvier après une exploitation de prêt flash de 4,5 millions de dollars.
Après les deux exploits de cette année, la valeur totale verrouillée de Radiant a considérablement chuté, passant de plus de 300 millions de dollars fin de l'année dernière à environ 5,81 millions de dollars au 9 décembre, selon DefiLlama.
Magazine: BTC hits $100K, Trump taps Paul Atkins for SEC chair, and more: Hodler’s Digest, Dec. 1 – 7