Az Elastic Security Labs közzétett egy „Bit ByBit” című tanulmányt, amely részletes technikai elemzésen alapuló szimulációt mutat be a Lazarus csoport által végrehajtott legnagyobb kriptovaluta-lopásáról, amely során mintegy 400 000 ETH-t (akkori árfolyamon több mint 1 milliárd USD-t) tulajdonítottak el a Bybit tőzsdéről. A támadás során a Safe{Wallet} multisig platform kompromittálásával hajtották végre a lopást, kihasználva az ellátási láncban rejlő sebezhetőségét.
A vizsgálat a kompromittálás idővonalát, az alkalmazott technikákat és az ellátási lánc gyenge pontjainak kihasználását dokumentálja. A tanulmány nemcsak a tények kronológiáját rögzíti, hanem részletesen bemutatja a támadás technikai eszköztárát, beleértve az alkalmazott eszközöket, a támadási felületeket és a kihasználások módjait.
A támadás legalább 2025. február 2-ig vezethető vissza, amikor a támadók regisztrálták a getstockprice[.]com domainnevet, amelyet később C2 infrastruktúraként használtak. A kompromittálás kulcsfontosságú pillanata 2025. február 4-én következett be, amikor egy Safe{Wallet}-fejlesztő macOS rendszeren futtatott egy Python-szkriptet, amely Docker parancsokat hívott meg, és kapcsolatot létesített a fent említett domainnel. A futtatott szkript a ~/Downloads/ könyvtárból származott, ami social engineering terjesztési módszerre utal.
2025. február 5-én a támadók hozzáfértek a Safe{Wallet} AWS-környezetéhez a fejlesztő aktív AWS-munkamenet tokenjeinek felhasználásával. Megkísérelték saját virtuális MFA-eszközük regisztrálását a fejlesztő IAM-felhasználójához, ami a tartós hozzáférés megszerzésére irányuló próbálkozásra utal. Ezt követően a támadók felderítő műveleteket végeztek az AWS-környezetben: IAM-szerepkörök, S3-bucketek, logikai és fizikai infrastruktúra elemeinek feltérképezésével. Ez a fázis 2025. február 17-ig tartott, és a támadás előkészítésének kritikus lépése volt.
A Wayback Machine által, 2025. február 19-én rögzített pillanatkép alapján a Safe{Wallet} statikus Next.js webalkalmazásába rosszindulatú JavaScript kódot injektáltak. A kód feladata az volt, hogy a Bybit felé irányuló tranzakciók végrehajtását úgy módosítsa, hogy a címzettek helyett a támadó pénztárcacímei szerepeljenek.
A manipulált tranzakció végrehajtását követően a rosszindulatú JavaScript-kódot 2025. február 21-én eltávolították a webalkalmazásból. Az elemzések szerint a Bybit infrastruktúrája nem volt közvetlenül érintett; a Safe{Wallet} volt az egyetlen kompromittált pont. A módosított frontend manipulálta a tranzakciók címzetteit, anélkül, hogy maga a backend vagy a blokklánc logikája sérült volna. Az eset utólagos vizsgálatával sikerült több szálon is megerősíteni az Észak-Koreához köthető műveleti mintákat. A tanulmány nemcsak a Lazarus csoport működésének egy újabb módszertani mintáját tárja fel, hanem ékes példája annak, hogyan lehet egy teljes ellátási lánc kompromittálásával milliókat zsákmányolni anélkül, hogy klasszikus exploitot alkalmaznának a célrendszeren.