Noord-Koreaanse hackers hebben in mei dit jaar voor 308 miljoen dollar aan bitcoins gestolen van het Japanse cryptovalutabedrijf DMM. Dat stellen de FBI, het Cyber Crime Center van het Amerikaanse ministerie van Defensie en de Japanse politie.
De diefstal kon plaatsvinden via een aanval op een ander Japans bedrijf: Ginco. Dat bedrijf maakt onder meer een enterprisecryptowallet. Volgens de FBI nam de aanvaller in maart 2024 contact op met een werknemer van Ginco, waarbij hij zich voordeed als een recruiter. Het slachtoffer kreeg een link naar een zogenaamde test op een GitHub-pagina, die uitgevoerd moest worden voor het sollicitatieproces. In werkelijkheid leidde de link naar een malafide Python-script. Het slachtoffer kopieerde de Python-code naar zijn persoonlijke GitHub-pagina, waarna deze gecompromitteerd werd.
De aanvallers misbruikten deze toegang in mei dit jaar, toen ze cookie-informatie gebruikten om zich voor te doen als het slachtoffer. Op die manier konden de aanvallers toegang krijgen tot het niet-versleutelde communicatiesysteem van Ginco. De autoriteiten vermoeden dat de aanvallers hiermee een legitiem transactieverzoek van een DMM-werknemer konden manipuleren om geld te stelen.
Volgens de FBI en de Japanse politie is de aanval gelinkt aan TraderTraitor, een groepering die onderdeel uit zou maken van de bekende Lazarus-groep. De aanvallers wisten in totaal 4.502,9 bitcoin te stelen, wat op dat moment 308 miljoen dollar waard was. Het gestolen geld werd verplaatst naar wallets in het beheer van TraderTraitor, die de autoriteiten weer wisten te herleiden naar de Noord-Koreaanse overheid.