BitMEX挫败了Lazarus Group的黑客攻击企图，曝光了黑客的IP地址和操作漏洞。

BitMEX 揭露了 Lazarus Group 的一次失败的黑客攻击，曝光了这个与朝鲜网络战部门长期有联系的组织所犯下的低级错误。.

根据 BitMEX 周五发布的一篇博客文章，该团队现已建立内部监控系统，以观察更多感染情况，并可能发现未来运营安全错误。.

事情的起因是， BitMEX 的 员工在 LinkedIn 上收到了一份邀请，希望他参与一个虚假的 NFT 市场项目。但该邀请与 Lazarus 使用的已知网络钓鱼策略相符，因此该员工立即举报，并展开了全面调查。

BitMEX 的安全团队访问了攻击者共享的 GitHub 代码库，其中包含一个 Next.js/React 项目。但其中隐藏着一段代码，旨在诱使员工在不知情的情况下在其系统上执行恶意程序。团队没有运行这段代码，而是直接进行了分析。.

BitMEX剖析恶意软件，发现Lazarus的指纹

在代码库中，BitMEX 的工程师搜索了“eval”这个词，这是恶意软件中常见的危险信号。虽然有一行代码被注释掉了，但仍然揭示了其意图。如果该代码处于激活状态，它会向“hxxp://regioncheck[.]net/api/user/thirdcookie/v3/726”请求获取并执行一个 cookie。此前，Palo Alto Networks 的 Unit 42 团队已将该域名与 Lazarus 恶意软件关联起来。Unit 42 团队多年来一直在 trac朝鲜的网络活动。.

另一条线路 处于 发送请求defi并执行了响应。BitMEX 手动获取了这段 JavaScript 代码，发现它经过了高度混淆。据报道，该团队使用代码反混淆工具 webcrack 逐层剥离了代码。最终输出虽然杂乱无章，但仍然可读，看起来像是三个不同的脚本混杂在一起。

代码的一部分包含 Chrome 扩展程序的dent，这通常指向窃取dent的恶意软件。其中一个字符串 p.zi 看起来像是 BeaverTail 攻击活动中使用的旧版 Lazarus 恶意软件，该攻击活动此前已被 Unit 42 记录在案。由于 BeaverTail 组件已公开，BitMEX 决定不再对其进行重新分析。.

相反，他们将注意力集中在另一项发现上：与 Supabase 实例相关的代码。Supabase 是一个面向开发者的后端平台，类似于 Firebase。问题在于： Lazarus 的开发者 没有对其进行安全防护。BitMEX 进行测试时，可以直接访问数据库——无需登录，也没有任何保护措施。

黑客泄露受感染设备的日志和他们自己的IP地址

Supabase 数据库中包含 37 条受感染机器的日志。每条日志都显示了用户名、主机名、操作系统、IP 地址、地理位置和时间戳。BitMEX 注意到了一些规律——某些设备反复出现，这使得它们很可能是开发人员或测试机器。大多数主机名的命名格式遵循 3-XXX 结构。.

许多 IP 地址来自 VPN 提供商。一位名为“Victor”的用户经常使用 Touch VPN 连接。另一位名为“GHOST72”的用户则使用了 Astrill VPN。但 Victor 搞砸了。链接到他的一个条目使用了不同的 IP 地址——223.104.144.97，这是中国移动在中国嘉兴的dentIP。这不是 VPN，很可能是 Lazarus 运营商的真实 IP 地址。BitMEX 将此标记为重大操作故障。

BitMEX随后开发了一个工具，持续向Supabase数据库发送ping请求。自5月14日以来，该工具已从数据库中收集到856条记录，这些记录最早可追溯至3月31日。其中，用户名和主机名的组合共有174种。该系统目前持续运行，不断查找新的感染或攻击者的更多错误。.

BitMEX通过分析时间戳发现，Lazarus的活动在世界协调时上午8点至下午1点之间（即平壤时间下午5点至晚上10点）有所下降。这与他们有规律的工作时间相符，进一步证明该组织并非一群自由职业黑客，而是一个组织严密的团队。.

安全团队确认了拉撒路模式和内部分裂

拉扎勒斯组织有使用社交工程攻击的不良记录。在早前的dent中，例如Bybit数据泄露事件，他们诱骗Safe Wallet的一名员工运行恶意文件，从而获得了初始访问权限。.

随后，团队的另一部分成员接管了攻击，访问了AWS环境，并修改了前端代码，从冷钱包中窃取加密货币。BitMEX表示，这种模式表明该团伙可能分为多个小组——一些小组负责基本的网络钓鱼，另一些小组则在获得访问权限后负责更高级的入侵操作。.

BitMEX 写道：“过去几年里，该组织似乎已经分裂成多个技术水平参差不齐的小组。” 安全团队表示，此次攻击活动也遵循了同样的模式。最初在 LinkedIn 上发布的信息很简单，GitHub 代码库也显得很业余。.

但后渗透脚本展现了更高的技术水平，显然出自经验更丰富的人之手。在对恶意软件进行反混淆后，BitMEX 成功trac了入侵指标 (IoC) 并将其导入到其内部系统中。.

他们重命名了变量，清理了脚本，并研究了它的运行方式。代码的早期部分是新增的， 据说 会将系统数据（用户名、IP地址等）直接发送到Supabase数据库，使得 trac变得轻而易举……前提是有人找到了这个开放的数据库。

BitMEX 还dent出了开发过程中使用的机器。例如，Victor@3-KZH 曾与 Touch VPN 和中国移动一起使用。其他机器，如 GHOST72@3-UJS-2 和 Super@3-AHR-2，则混合使用了 Astrill、Zoog 和 Hotspot Shield。日志甚至显示了 Admin@3-HIJ、Lenovo@3-RKS、GoldRock@DESKTOP-N4VEL23 和 Muddy@DESKTOP-MK87CBC 等用户帐户。这些很可能是攻击者设置的测试环境。.