朝鲜臭名昭著的黑客组织拉撒路集团对加密货币发起了新的网络攻击,并且越来越关注开发者。.
安全研究人员在过去几个月发现,该组织一直在破坏恶意 npm 包,这些包会窃取dent、泄露加密货币钱包数据,并在开发环境中创建持久后门。这标志着他们持续多年的网络战进入了重大升级阶段,这场网络战已经见证了历史上一些最大的加密货币盗窃案。.
根据Socket 研究团队,Lazarus Group 的一个分支已经渗透到 npm 仓库中,npm 是 JavaScript 开发人员最流行的包管理器之一。
黑客随后利用域名抢注技术发布恶意版本的热门 npm 包,诱骗毫无戒心的开发者下载这些程序。这些包包括 is-buffer-validator、yoojae-validator、event-handle-package、array-empty-validator、react-event-dependency 和 auth-validator。.
执行后,被入侵的软件包会安装 BeaverTail 恶意软件。这款“高级”工具可以窃取登录dent,搜索浏览器文件中保存的密码,并转储 Solana 和 Exodus 等加密货币钱包中的文件。.
安全研究人员指出,被盗数据被发送到硬编码的命令与控制 (C2) 服务器,这是拉撒路集团常用的将dent数据转发回其成员的作案手法。.
Socket Security 的威胁情报分析师 Kirill Boychenko 表示,该恶意软件的目的是窃取和传输被入侵的数据而不被发现,这对构建金融和区块链应用程序的开发人员来说尤其具有威胁性。.
拉扎勒斯对拜比特发起攻击,窃取了近14.6亿美元。
除了这些供应链攻击之外,拉扎勒斯集团还与有史以来最大的加密货币盗窃案之一有关。据信,该集团的首次行动发生在2025年2月21日,当时与该集团有关联的黑客入侵了全球最大的加密货币交易所之一Bybit,窃取了价值约14.6亿美元的加密资产。.
此次攻击手段极其复杂,据称是由Bybit技术合作伙伴Safe{Wallet}的一名员工的被入侵设备发起的。黑客利用Bybit Ethereum 钱包基础设施中的一个漏洞,篡改了智能trac逻辑,将资金重定向到他们的钱包。.
尽管 Bybit 立即解决了这个问题,但首席执行官 Ben Zhou透露,20% 的被盗资金已经通过混币服务洗钱,无法trac。
朝鲜最近发起的这一系列攻击,是其通过窃取和洗钱加密货币来规避国际制裁的更广泛行动的一部分。.
根据联合国2024年的一份报告,朝鲜网络犯罪分子在过去一年中造成了全球超过35%的加密货币盗窃案,累计盗窃资产超过10亿美元。拉扎勒斯集团不仅是一个网络犯罪集团,更构成地缘政治威胁,因为据报道,被盗资金直接流入了朝鲜的核武器和弹道导弹项目。.
多年来,Lazarus Group 的攻击手段也不断发展,从直接攻击交易所到攻击供应链,甚至攻击开发者和软件仓库。.
通过在 npm、PyPI 和 GitHub 等开源平台上添加后门,该组织将其潜在攻击范围扩展到许多系统,从而无需直接入侵加密货币交易所。.
安全专家呼吁对加密货币开发者采取更严格的保护措施。
鉴于这些日益增长的风险,网络安全专家正在推动加强对开发者和加密货币用户的安全保护,防止黑客攻击。其中一项最佳实践是在安装 npm 包之前验证其真实性,因为域名抢注仍然是网络犯罪分子最常用的手段之一。.
Socket AI Scanner 还 trac软件依赖项或 npm 审计中的 ks 异常情况,从而告知您是否正在使用任何受损的软件包,并允许您在它们造成任何实际损害之前将其从应用程序中删除。.
该指南建议用户和开发者主动保护自己,为交易所钱包、GitHub 等开发者平台和其他帐户启用多因素身份验证 (MFA)。.
网络监控如今被视为第一道防线,因为被入侵的系统通常会向外部命令与控制(C2)服务器发送消息,后者随后会将恶意更新上传到受感染的计算机上。阻止非法出站流量可以切断黑客获取这些被盗数据的途径。.
随着加密货币安全战愈演愈烈,Bybit 发起追回赏金计划
Bybit交易所遭黑客攻击后,也启动了资产追回赏金计划,奖励任何帮助找回被盗资产的人。该计划最高可奖励追回金额的10%。.
与此同时,更广泛的加密货币生态系统正忙于加强安全措施,并提醒开发人员防范可能导致这种危险情况的相同做法。.
但随着 Lazarus Group 的策略不断推进,网络安全防御者表示,针对加密货币的战争才刚刚开始。.
