Le groupe de pirates informatiques nord-coréen » TraderTraitor’ a volé 308 millions de dollars de crypto-monnaie lors de l’attaque de la bourse japonaise DMM Bitcoin en mai.
Dans un court message, le FBI a attribué l’attaque à l’acteur menaçant affilié à l’État TraderTraitor, également connu sous le nom de Jade Sleet, UNC4899 et Slow Pisces.
Le vol de crypto a eu lieu en mai 2024 et a forcé la plateforme à restreindre l’enregistrement des comptes, les retraits de crypto-monnaie et les transactions jusqu’à la fin des enquêtes.
Plus tôt cette semaine, un rapport de la société de renseignement blockchain Chainalysis a attribué l’attaque à des acteurs de la menace nord-coréens, mais n’a partagé aucun détail spécifique.
Chaîne d’attaque
Dans une courte annonce, le FBI a déclaré que l’attaque de TraderTraitor contre DMM Bitcoin avait commencé fin mars 2024, lorsque l’un des attaquants s’est fait passer pour un recruteur légitime sur LinkedIn et a approché un employé de Ginco, une entreprise japonaise de logiciels de portefeuille de crypto-monnaie.
Le pirate a envoyé à l’employé de Ginco, qui avait accès au système de gestion de portefeuille de son employeur, une proposition d’emploi impliquant un test de pré-embauche sur GitHub. Cette tactique a été populaire auprès des groupes de menace nord-coréens cette année [1, 2].
La victime a reçu un morceau de code Python malveillant à copier sur sa page GitHub personnelle afin d’effectuer le effectuer le test. Le code, cependant, a compromis l’ordinateur et a permis à TraderTraitor d’infiltrer Ginco puis de se déplacer latéralement vers DMM.
“Après la mi-mai 2024, les acteurs de TraderTraitor ont exploité les informations des cookies de session pour se faire passer pour l’employé compromis et ont réussi à accéder au système de communication non crypté de Ginco”, explique le FBI.
“Fin mai 2024, les acteurs ont probablement utilisé cet accès pour manipuler une demande de transaction légitime d’un employé de DMM, entraînant la perte de 4 502,9 BTC, d’une valeur de 308 millions de dollars au moment de l’attaque”, indique l’agence.
Les autorités américaines surveillent l’activité de TraderTraitor depuis 2022, lorsque l’auteur de la menace a commencé à cibler l’espace blockchain avec de fausses applications.
En 2023, GitHub a mis en garde contre une campagne d’ingénierie sociale menée par les acteurs de la menace particuliers sur la plate-forme, ciblant les comptes des développeurs dans les secteurs de la blockchain, de la crypto-monnaie, des jeux d’argent en ligne et de la cybersécurité.
Plus tard, le FBI a averti que TraderTraitor se préparait à encaisser 1 580 Bitcoins (évalués à l’époque à environ 41 millions de dollars) volés à diverses sources cette année-là.