朝鲜的Lazarus集团正在加密赛上发动网络战,而开发人员是新目标
币圈网报道:
拉撒路集团是朝鲜臭名昭著的黑客部门,在加密货币中进行了新的网络攻击,越来越关注开发商。
安全研究人员在过去的几个月中发现,该小组一直在破坏恶意NPM软件包,这些软件包窃取凭据,剥落加密货币钱包数据,并在开发环境中创建持久的后门。这标志着他们长达多年的网络战中的一个重大升级,这已经目睹了历史上一些最大的加密抢劫。
根据插座研究团队Lazarus Group的一个分支已经渗透了NPM存储库,NPM存储库是JavaScript开发人员最受欢迎的软件包经理之一。
然后,黑客使用错别字技术发布了流行的NPM软件包的恶意版本,欺骗了毫无戒心的开发人员下载程序。这些软件包包括IS-BUFFER-VALIDATOR,YOOJAE-VALIDATOR,EVENT HANDLE-PACKAGE,ARRAY-EXTEMPTY-VALIDATOR,REACT-EVENT依赖性和auth-validator。
执行后,折衷的软件包安装了Beavertail恶意软件。此“高级”工具可以窃取登录凭据,通过浏览器文件查找保存密码,然后从加密货币钱包(例如Solana和Exodus)中搜索文件。
安全研究人员指出,被盗的数据已发送到硬编码的命令和控制服务器(C2)服务器,这是Lazarus Group使用的一种常见的作案操作,以将机密数据传递给其参与者。
SCOEDT SECUCICY的威胁情报分析师Kirill Boychenko说,其目的是窃取和传输折衷的数据,而在开发人员构建财务和区块链应用程序的世界中,它尤其威胁到。
拉撒路对拜比特发起了进攻,偷走了近14.6亿美元
除了这些供应链攻击外,拉撒路集团还与记录中最大的加密货币盗窃案相关。怀疑它的第一个行动是在2025年2月21日发生的,当时与团体链接的黑客违反了世界上最大的加密货币交易所之一拜比特(Bybit),估计有14.6亿美元的加密资产。
这次攻击非常复杂,据称是通过安全{Wallet}员工(BYBIT技术合作伙伴)的折衷设备发起的。黑客在拜比特(Bybit)的以太坊钱包的基础设施中利用了一个脆弱性,并将智能合同逻辑更改为将资金重定向到他们的钱包。
尽管Bybit立即解决了这个问题,但首席执行官本·周(Ben Zhou)透露,有20%的被盗资金已经通过混合服务被洗过,无法追踪。
这一最新的攻击是朝鲜通过窃取和洗钱加密货币逃避国际制裁的广泛努力的一部分。
根据2024年联合国的一份报告,朝鲜网络犯罪分子在过去一年中造成了35%的全球加密货币盗窃案,积累了超过10亿美元的被盗资产。拉撒路集团不仅是网络犯罪集团,而且是地缘政治的威胁,因为据报道,被盗的钱被直接投入到美国的核武器和弹道导弹计划中。
多年来,从直接交换黑客到供应链攻击,甚至开发人员和软件存储库攻击,这种拉撒路组攻击也在进步。
通过将后门添加到NPM,PYPI和GitHub等开源平台,该小组将其潜在攻击范围扩展到许多系统,从而无需直接黑客入侵加密货币交换。
安全专家呼吁对加密开发人员进行更严格的保护。
由于注意到这些不断增长的风险,网络专家正在为开发人员和加密用户和保护侵害黑客的保护更加严格的安全性。这样的最佳实践之一就是在安装前验证NPM软件包的现实性,因为打字仍然是网络罪犯使用的最常见方法之一。
Socket AI扫描仪还会在软件依赖项或NPM审核中跟踪异常,该审核会通知您是否正在使用任何折衷的软件包,并允许您从应用程序中删除它们,然后才能造成任何实际损坏。
该指南建议用户和开发人员主动通过启用多因素身份验证(MFA)来保护自己的倡议(MFA),用于交换钱包,GitHub等开发人员平台和其他帐户。
现在,网络监视被视为第一道防线,因为折衷的系统通常会将消息发送回外部命令和控制服务器(C2)服务器,然后将恶意更新上传到受感染的计算机上。阻止非法的出站流量可以减少黑客对此被盗数据的访问。
Bybit推出恢复赏金,因为加密安全战加热
在Bybit Hack之后,交易所还启动了恢复赏金计划,奖励任何帮助找到被盗资产的人。该计划允许回收的最多10%的奖励。
同时,较大的加密生态系统正在忙于加强安全实践,并提醒开发人员防止相同的做法,从而导致这一威胁性道路。
但是,随着拉撒路集团的战术越来越迅速,网络辩护人说,对加密货币的战争才刚刚开始。