与朝鲜有关的黑客组织拉撒路集团(Lazarus Group)在一系列高调黑客攻击后,通过混币服务转移加密资产。
3月13日,区块链安全公司CertiK在其X平台上提醒关注者,检测到了一笔价值约75万美元的400枚以太坊(ETH)存入Tornado Cash混币服务。
该公司指出:“这笔资金的来源可追溯至拉撒路集团在比特币网络上的活动。”
该朝鲜黑客组织被指负责了2月21日发生的大规模Bybit交易所黑客攻击,导致价值14亿美元的加密资产被盗。
它还与1月发生的2900万美元Phemex交易所黑客事件有关,并自此开始洗钱这些资产。
拉撒路集团加密资产动向。来源:Certik
拉撒路集团还与一些最臭名昭著的加密黑客事件相关,包括2022年发生的6亿美元Ronin网络黑客攻击。
根据Chainalysis的数据,2024年,朝鲜黑客在47起事件中盗取了超过13亿美元的加密资产,盗窃金额是2023年的两倍多。
检测到新的拉撒路集团恶意软件
根据网络安全公司Socket的研究人员的报告,拉撒路集团已部署六个新的恶意软件包,旨在渗透开发环境、窃取凭证、提取加密货币数据并安装后门。
该集团的攻击目标是Node Package Manager(NPM)生态系统,这是一个庞大的JavaScript包和库集合。
研究人员发现,名为“BeaverTail”的恶意软件被嵌入在一些伪装成合法库的包中,这些包使用了误植域名 (Typosquatting)策略或其他欺骗开发人员的方法。
“在这些包中,拉撒路集团使用了与合法且广泛信任的库非常相似的名称,”他们补充道。
该恶意软件还专门针对加密货币钱包,尤其是索拉纳(Solana)和Exodus钱包。
展示Solana钱包攻击的代码片段。来源:Socket
该攻击针对Google Chrome、Brave和Firefox浏览器中的文件,以及macOS上的钥匙串数据,特别是针对那些可能在不知情的情况下安装恶意软件包的开发人员。
研究人员指出,尽管目前很难将此攻击明确归因于拉撒路集团,但“在此次npm攻击中观察到的战术、技术和程序与拉撒路集团已知的操作方式高度一致。”