O ataque hacker que resultou no roubo de US$ 308 milhões em criptomoedas da exchange japonesa DMM ocorreu devido à ação de hackers norte-coreanos, de acordo com comunicado conjunto das autoridades dos Estados Unidos e do Japão.
O incidente envolveu a subtração de 4.502,9 Bitcoins (BTC), levando à decisão de fechamento da plataforma.
As investigações apontam que o grupo conhecido como TraderTraitor, também identificado pelos nomes Jade Sleet, UNC4899 e Slow Pisces, esteve por trás do ataque. O grupo usa engenharia social direcionada como principal método de atuação.
Neste caso, as autoridades identificaram que um agente do grupo enviou um script malicioso em Python disfarçado como parte de um teste de pré-contratação para um candidato. A mensagem veio de um perfil falso no LinkedIn, alegadamente representando um recrutador.
Ataque hacker faz exchange fechar as portas
O alvo trabalhava para a Ginco, uma empresa de carteiras de criptomoedas. O funcionário copiou o código malicioso para sua conta pessoal no Github. Isso deu ao TraderTraitor acesso a informações de sessão armazenadas em cookies.
Com essas informações, os hackers obtiveram acesso ao sistema de comunicação da Ginco. Meses após o ataque inicial, os criminosos provavelmente usaram esse acesso para interceptar uma solicitação legítima de transação de um funcionário da DMM, resultando no roubo dos Bitcoins.
Relatórios indicam que hackers norte-coreanos dominaram os crimes de criptomoedas em 2024. O país foi responsável por mais da metade do valor total de ativos roubados no ano. De acordo com dados da Chainalysis, hacker roubaram US$ 1,34 bilhão em 47 incidentes diferentes, superando significativamente os US$ 660 milhões registrados no ano anterior.
O FBI, o Departamento de Defesa dos EUA e a Agência Nacional de Polícia do Japão ressaltaram que o roubo da DMM é um exemplo do uso sofisticado de estratégias de engenharia social e codificação maliciosa, que continuam sendo ferramentas eficazes para grupos ligados à República Popular Democrática da Coreia (DPRK).
A revelação reforça a preocupação global sobre o papel da Coreia do Norte em crimes cibernéticos envolvendo criptomoedas. Essas criptomoedas roubadas servem como uma fonte de financiamento para o regime em meio a sanções internacionais.
