Уязвимость MacBook привела к взлому ByBit на $1,5 млрд

За кражей криптовалюты на сумму около $1,5 млрд с криптобиржи ByBit стоит северокорейская хакерская группировка TraderTraitor. Ключевым фактором в инциденте стала уязвимость нулевого дня в MacBook сотрудника компании Safe{Wallet}, чьи продукты ByBit использовала для управления криптоактивами. Об этом сообщает «Газета.Ru» со ссылкой на расследование Safe{Wallet} и Mandiant.

Злоумышленники получили доступ к системе, воспользовавшись уязвимостью в MacBook разработчика Safe{Wallet}, получив AWS-токены сессии, что позволило им обойти многофакторную аутентификацию и проникнуть в инфраструктуру ByBit. Разработчик обладал привилегированным доступом, необходимым для работы с кодовой базой биржи. Киберпреступники удалили вредоносное ПО и стерли следы своего присутствия.

Расследование показало, что заражение произошло 4 февраля 2025 года через Docker-проект при подключении к сайту getstockprice.com. Обнаруженные файлы указывают на использование методов социальной инженерии для первоначального проникновения.

Для доступа к AWS-аккаунту разработчика, хакеры использовали ExpressVPN, маскируя свои действия под легитимную активность. Они тщательно изучили рабочее расписание жертвы и подстраивали свою деятельность, используя похищенные токены для незаметного доступа.

Расследователи связывают TraderTraitor с APT38 (BlueNoroff и Stardust Chollima), входящими в синдикат Lazarus.

Ранее ITinfo сообщало, что эксперт предупреждает о фишинговых схемах с подпиской Telegram Premium.