隶属于朝鲜的Lazarus 黑客组织继续在加密货币领域进行非法活动。最近,该组织通过混合服务Tornado Cash转移了400 ETH,相当于约 75 万美元。这种方法可以隐藏资金来源,使追踪交易变得更加困难。
Lazarus 在 Tornado Cash 上洗钱 400 ETH
区块链安全公司CertiK今天刚刚发现并报告了这一动向。专家表示,这些资金与 Lazarus 组织在比特币网络上的活动有直接联系。
Lazarus 是加密货币领域最危险的黑客组织之一。该组织对2 月 21 日发生的针对 Bybit 交易所平台的攻击负责,此次攻击导致 14 亿美元的数字资产被盗。
这并不是该组织第一次发起攻击:今年 1 月,Lazarus 与另一次攻击(交易所Phemex的攻击)有关,此次攻击导致2900 万美元被盗。自 2024 年初以来,朝鲜黑客一直在洗钱并开发攻击加密平台的新工具。
多年来,Lazarus 被认为是criptovalute历史上一些最大攻击的罪魁祸首。其中, 2022 年对 Ronin 网络的 6 亿美元攻击尤为突出。根据区块链分析公司Chainalysis的数据,2024 年朝鲜黑客通过47 次网络攻击窃取了超过13 亿美元的 criptovalute ,这一数字是2023 年发生的盗窃案价值的两倍。
新型恶意软件将攻击开发人员
除了持续对交易所进行攻击外,Lazarus 组织还开始传播新的黑客工具,针对开发人员和加密货币钱包。
Socket公司的网络安全专家发现了六个新的恶意软件包,这些恶意软件包旨在渗透开发环境、窃取凭证并提取有关加密货币的关键信息。这些恶意软件还允许在受感染的系统中安装后门,为进一步的攻击铺平道路。
黑客的目标是Node 包管理器 (NPM) ,这是 JavaScript 应用程序开发中最广泛使用的库之一。为了传播恶意软件,Lazarus 使用了一种称为域名抢注的技术,即创建名称与合法库非常相似的恶意包。
在这些伪造的软件包中发现了一种名为“BeaverTail”的恶意软件。一旦安装,BeaverTail 就能从加密货币钱包中窃取资金,尤其是Solana 和 Exodus钱包。
即使是 Google Chrome、Brave 和 Firefox 等最常用的网络浏览器也属于攻击范围。此外,该恶意软件还在macOS系统上运行,以钥匙串文件为目标来访问登录凭据和敏感的开发人员数据。
归因于 Lazarus 的技术
网络安全专家仍无法确定这些新攻击是否与 Lazarus 组织有关。不过,所采用的方法与该组织过去使用的技术有相似之处。
Socket 分析师指出,这些网络攻击所采用的方法与 Lazarus 组织的已知策略一致。域名抢注、攻击 NPM 软件包以及针对开发人员的攻击相结合,表明该组织的运营方法有所演变。
Lazarus 继续破坏加密生态系统
Lazarus 组织仍然是加密货币领域最危险的威胁之一。其适应和开发日益复杂的技术的能力对交易所、开发者和加密货币用户构成了严重风险。
朝鲜黑客发起的网络攻击不仅造成了重大的经济损失,还将整个数字货币生态系统置于危险之中。通过使用 Tornado Cash 等洗钱工具和传播高级恶意软件,Lazarus 不断逃避全球安全机构的控制。
网络安全专家建议采取有效的保护措施来降低感染和数字盗窃的风险,例如仔细监控软件包和使用先进的安全工具。