聚焦源代码安全,网罗国内外最新资讯!
FBI 提到,朝鲜从Bybit盗走了虚拟资产,将其归咎于被FBI追踪为 “TraderTraitor” 的特定组织,该组织也被称为 “Jade Sleet”、”Slow Pisces” 和 “UNC4899”。
FBI 提到,“TradeTraitor 组织行动迅速,已经将其中一些被盗资产转为比特币和散落在多个区块链数千个地址上的其它虚拟资产了。预计这些资产会被进一步洗钱并最终转换为法定货币。”
值得注意的是,TraderTraitor 组织此前曾在2024年5月被日本和美国当局控诉从密币公司 DMM Bitcoin 盗取价值3.08亿美元的密币。该组织因针对Web3行业企业而为人所知,它们通常会诱骗受害者下载受恶意软件感染的密币应用以便于偷盗。它们还会结合工作主题的社工活动部署npm恶意包。
而ByBit 已启动一项漏洞奖励计划,帮助恢复被盗资金,同时呼吁密币交易所拒绝与该黑客组织合作并帮助冻结资产。FBI提到,“被盗资金已被转账到无法追踪或无法冻结的目的地,如交易所、混币器、桥或者转为可被冻结的稳定币。我们要求所有涉及方与我们合作,要么冻结资金要么提供它们的动向,以便我们继续追踪。”
Bybit 公司还共享了由 Sygnia 和 Verichains 开展的两项调查所得出的结论,它们将该入侵事件与 Lazarus 组织联系在一起。Sygnia 公司表示,“对三个签名人主机的取证调查显示,此次攻击的根因是源自 Safe{Wallet}基础设施的恶意代码。”Verichains 公司提到,“app.safe.global 的非恶意 JavaScript 文件在2025年2月19日15:29:25(UTC时间)似乎已被恶意代码所取代,具体针对的是 Bybit 的以太坊多钱冷钱包,”以及“这起攻击设计为在Bybit 下次交易时激活,即2025年2月21日 14:13:35(UTC时间)。”
AWS S3或CloudFront 账号/Safe.Global 的API密钥疑似可能被泄露或受陷,因此为这起供应链攻击铺平道路。
多签钱包平台 Safe{Wallent} 单独发布声明称, Safe{Wallet} 开发者机器受陷,影响了由 Bybit 运行的一个账号。该公司还表示已执行额外的安全措施以缓解该攻击向量。该公司提到,这起攻击“通过攻陷 Safe{Wallet}开发者的一台机器,发起伪装的恶意交易实现。Lazarus 是受国家支持的朝鲜黑客组织,因为对开发者凭据实施复杂的社工攻击,有时还伴随0day利用而为人熟知。”
目前尚不清楚该开发者系统是否已受陷,不过Silent Push 发布最新分析指出,Lazarus 组织在2025年2月20日22:21:57即就在密币被盗的几小时之前注册了域名 bybit-assessment[.]com。WHOIS的记录显示,该域名是通过邮件地址trevorgreer9312@gmail[‘]com 注册的。该邮件地址此前被判定为由Lazarus组织在另一起攻击活动 “Contagious Interview” 中所用。分析提到,“Bybit时间似乎由朝鲜威胁组织TraderTraitor (也被称为“Jade Sleet”和“Slow Pisces”)发起,而该密币访谈欺诈是由 Contagious Interview (也被称为“Famous Chollima”)牵头的。它们一般通过 LinkedIn 接触受害者,通过社工诱骗他们参加虚假的工作面试。这些面试是针对性恶意软件部署、凭据收割和进一步攻陷金融和企业资产的入口点。”
朝鲜黑客组织自2017年起,被指已盗取价值超过60亿美元的密币资产。上周发生的Bybit 15亿美元被盗事件打破了该组织在2024年从47密币攻击中盗取13.4亿美元的最高记录。
https://thehackernews.com/2025/02/bybit-hack-traced-to-safewallet-supply.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~