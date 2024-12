De aanval op Radiant Capital, waarbij vijftig miljoen dollar aan crypto werd gestolen, werd vooraf gegaan door verschillende ontwikkelaars die een malafide zip-bestand openden, zo stelt het platform in een analyse. Radiant Capital is een decentralized finance (DeFi) platform dat gebruikers cryptovaluta laat storten, lenen en beheren. Op 16 oktober werd het project getroffen door een aanval waarbij het genoemde bedrag werd buitgemaakt.

De aanvallers hadden de apparaten van zeker drie ontwikkelaars gecompromitteerd. Via deze besmette machines werden goedkeuringen van de ontwikkelaars voor legitiem lijkende transacties onderschept en daarna voor frauduleuze transacties gebruikt, aldus een post-mortem die op 18 oktober verscheen. Radiant Capital heeft in een update nu meer informatie over de aanval gegeven.

Een Radiant-ontwikkelaar ontving op 11 september een bericht via Telegram dat van een vertrouwde voormalige freelancer afkomstig leek. De freelancer stelde dat hij naar een nieuwe baan keek en wilde graag feedback van de ontwikkelaar hierover. Het bericht bevatte ook een link naar een zip-bestand met meer informatie. In werkelijkheid bevatte het zip-bestand malware die een macOS-backdoor op het systeem installeerde en als afleidingsmanoeuvre een legitiem lijkend pdf-document toonde.

"Gegeven hoe normaal dit soort interacties zijn en dat het afkomstig was een voormalige freelancer, wekte het bestand in eerste instantie geen argwaan en werd met andere ontwikkelaars voor feedback gedeeld. Daarnaast spoofte het domein dat aan het zip-bestand was gekoppeld de legitieme website van de freelancer, wat de argwaan verder verminderde", laat Radiant weten.

Op deze manier werden meerdere ontwikkelaars gecompromitteerd. Vervolgens wisten de aanvallers via de malware de front-end interfaces van de ontwikkelaars te manipuleren. De interfaces toonden onschuldige transactiegegevens, terwijl de ontwikkelaars in werkelijkheid malafide transacties signeerden. Radiant schakelde securitybedrijf Mandiant in voor het onderzoek naar de aanval, dat stelt dat de aanval door een aan Noord-Korea gelieerde groep is uitgevoerd.