De er kjent i darknet-undergrunnen som «Lazarus-gruppen», men etterretningskilder sier at de er Nord-Koreas digitale hær. Du har kanskje hørt navnet før i det beryktede 2014-hakket til Sony Pictures.

Men deres siste operasjon har et nytt mål - kryptovaluta, og ble oppdaget av cybersikkerhetsselskapet Secureworks.

Fokuset for angrepet er ledere i finansfirmaer som holder og administrerer kryptovalutaer, og det fungerer slik – en leder mottar en e-post som sier at det er en mulighet til å rykke opp i gradene, og bli selskapets finansdirektør.

Det er et vedlegg i form av en Microsoft Word-fil. Når de åpnes, mottar de et varsel "redigering må være aktivert for å se dokumentet", og når brukeren klikker "ok" starter den et innebygd skript som gjør 2 ting.

Først oppretter det og åpner et ufarlig dokument - en faktisk jobbbeskrivelse for å holde brukeren distrahert og mistenksom.

Sikkerhetsforsker Didier Stevens satte opp en felle, eller i digitale sikkerhetstermer - en "honeypot". Tenk på det som en digital sting-operasjon, der noen setter en server på nett åpen for angrep - men ingenting av verdi er egentlig der, det er bare der for å registrere angrepene når de skjer.

Loggene til disse honningpottene avslørte hackere som kjører scrips for å oppdage filer som inneholder kryptovaluta-lommebøker.

Filnavnene inkluderte:

lommebok - Copy.dat
lommebok.dat
lommebok.dat.1
wallet.dat.zip
lommebok.tjære
wallet.tar.gz
wallet.zip
wallet_backup.dat
wallet_backup.dat.1
wallet_backup.dat.zip
wallet_backup.zip

Didier sa at han har sett aktivitet som dette siden 2013 - men aldri med så høyt volum.

Det samme skjer nå med Ethereum siden det har tatt et sterkt tak som #2 kryptovaluta. Trusseljegeren Dimitrios Slamaris satte opp en honningkrukke og forfalsket å ha noe Ethereum i lommeboken.

Hackeren sjekket hvilken programvare han kjørte, hvor mye ethereum han hadde i lommeboken, og ga deretter en eth_sendTransaction-kommando i et forsøk på å stjele gass fra den tidligere mottatte kontoen.

Det ser ut til at hackeren også har hatt en liten suksess, "Destinasjonskontoen har nesten 8 Ethers..." twitret Dimitrios 8. november.

Siden den gang har det vært noen flere transaksjoner som har kommet inn, samt en overføring som går ut til ShapeShift-børsen.

En titt på lommebokaktiviteten til hackeren.

Lærdommen du kan ta av dette er: Lommeboken din bør ikke hete "lommebok", og enda bedre, lommeboken din skal ikke være på en datamaskin som er online, eller i det minste bak en sterk brannmur.

Coinbase deltar i dette året "Hack verden" konkurranse for White Hat (gode) hackere som hjelper selskaper med å finne og fikse sikkerhetshull.

$50,000 XNUMX er hovedpremien - hvis en hacker kan få fjernkjøring av kode på coinbase sine servere.

Men det er ikke alt de tilbyr, ytterligere belønninger inkluderer:

$10,000 XNUMX for XSS/CSRF/Clickjacking som påvirker sensitive handlinger.
$7,500 for tyveri av privilegert informasjon.
$5,000 XNUMX for delvis omgåelse av autentisering.
og $3,000 for en rekke "mindre oppgaver".

Coinbase er heller ikke ny for denne ideen, de innrømmer stolt - de har allerede betalt $176,031 223 i dusører til XNUMX hackere/forskere.

Praksisen er faktisk vanlig blant teknologiselskaper og andre sponsorer av dette arrangementet inkluderer Airbnb, Uber og Dropbox.

«Hack the world» er i gang nå, og avsluttes 18. november.