据报道,以其网络战行动和与朝鲜的联系而臭名昭著的 Lazarus Group 加强了对加密货币的网络攻击,特别是针对开发人员的攻击。在过去的几个月里,该组织被发现篡改了恶意 npm 包,这些包窃取了凭据,窃取了加密货币钱包数据,并在开发环境中建立了一个持久的后门。这一发展意味着他们正在进行的网络战活动显着升级,其中包括历史上一些最大的加密货币抢劫案。
Socket 研究团队最近的一项调查显示,Lazarus Group 的一个分支已经渗透到 npm 存储库中,这是 JavaScript 开发人员常用的包管理器。黑客利用拼写错误技术发布流行 npm 包的恶意版本,诱骗毫无戒心的开发人员下载这些程序。这些受损的软件包包括 is-buffer-validator、yoojae-validator、event-handle-package、array-empty-validator、react-event-dependency 和 auth-validator。
执行后,这些受污染的软件包会安装 BeaverTail 恶意软件,这是一种高级工具,能够窃取登录凭据、在浏览器文件中搜索保存的密码,以及从 Solana 和 Exodus 等加密货币钱包中提取文件。安全研究人员指出,被征用的数据被传输到硬编码的命令和控制 (C2) 服务器,这是 Lazarus Group 用于将被盗数据传回其工作人员的标准方法。
“Lazarus Group 的主要目标是在不被发现的情况下窃取和传输受损数据。这在构建金融和区块链应用程序的开发人员领域尤其具有威胁性,“Socket Security 的威胁情报分析师 Kirill Boychenko 说。
此外,Lazarus Group 被怀疑是有记录的最大加密货币盗窃案之一的幕后黑手。2025 年 2 月 21 日,据称与该组织有关联的黑客入侵了世界上最大的加密货币交易所之一 Bybit,并窃取了估计 14.6 亿美元的加密资产。这次攻击非常复杂,据称源自 Bybit 的技术合作伙伴 Safe{Wallet} 员工的受感染设备。
据首席执行官 Ben 周 称,到 Bybit 解决这个问题时,20% 的被盗资金已经通过混合服务进行洗钱,无法追踪。
最近的这些攻击是朝鲜通过窃取和洗钱加密货币来规避国际制裁的更广泛战略的一部分。2024 年联合国的一份报告指出,在过去一年中,朝鲜网络犯罪分子占全球加密货币盗窃案的 35% 以上,积累了超过 10 亿美元的被盗资产。
多年来,Lazarus Group 的策略不断发展,从直接交换黑客攻击转变为供应链攻击,现在又发展到开发人员和软件存储库攻击。通过向 npm、PyPI 和 GitHub 等开源平台添加后门,该组织将其潜在攻击半径扩大到多个系统,从而规避了直接交换黑客攻击的需要。
为了应对这种不断升级的威胁,网络安全专家正在倡导为开发人员和加密货币用户采取更严格的安全措施。这些措施包括在安装前验证 npm 包的真实性,并利用 Socket AI Scanner 等工具检测软件依赖项或 npm 审计中的异常情况。
在 Bybit 事件之后,交易所实施了恢复赏金计划,提供高达 10% 的追回资金奖励。尽管做出了这些努力,但网络捍卫者警告说,随着 Lazarus Group 的策略继续以惊人的速度发展,对加密货币的战争远未结束。
