朝鲜黑客组织Lazarus目前至少拥有4700万美元的加密货币

金色财经报道，网络安全公司Volexity认为受到美国政府制裁的朝鲜黑客组织Lazarus与涉及使用加密站点感染系统以从第三方窃取信息和加密货币有关。Volexity博客文章显示，Lazarus在6月注册了一个名为bloxholder.com的域名，该域名后来被建立为提供自动加密货币交易服务的企业。Lazarus使用该站点作为网页从用户的系统中窃取私钥和其他数据。 Volexity还发现，将此恶意软件传送给最终用户的技术在10月份发生了变化。该方法演变为使用Office文档，特别是包含宏的电子表格，这是一种嵌入文档中的程序，旨在在计算机中安装Applejeus恶意软件。 金色财经此前报道，Lazarus 于2021 年 2 月被美国司法部 (DOJ)正式起诉，涉及与朝鲜情报组织侦察总局 (RGB) 有关联的组织的一名特工。

2月8日消息，据派盾预警监测，朝鲜黑客组织Lazarus Group在过去2天内通过剥离链（Peel Chain）分层过程从Harmony的Horizo​​n Bridge漏洞中积极清洗价值至少400万美元的ETH。 据悉，剥离链是指一种通过一系列冗长的小额交易来清洗大量加密货币的技术。 此前1月4日消息，美国联邦调查局（FBI）证实，Lazarus Group和APT38为去年6月Harmony跨链桥攻击事件的幕后黑手。他们盗窃了价值1亿美元的虚拟货币，并通过RAILGUN隐私协议洗钱。

7月18日消息，链上侦探 ZachXBT 于 X 发文，通过链上数据分析黑客行为，WazirX 黑客攻击事件具有朝鲜黑客组织 Lazarus Group 的攻击特征。该地址早在 7 月 10 日就通过 SHIB 从 0x09b 多重签名进行测试交易，并由 Tornado 转出 6 笔 0.1 ETH 的 GAS 费用。

金色财经报道，CoinsPaid Media在社交媒体上称，朝鲜黑客组织Lazarus Group正在使用一种新型恶意软件，即一种名为 LightlessCan 的先前未记录的后门，作为虚假招聘骗局的一部分。ESET研究人员警告说，它比以前使用的BlindingCan更难检测。

金色财经报道，Arkham 在 X 平台发文表示，今年 4 月，ZachXBT 公布对朝鲜黑客组织 Lazarus Group 活动的调查结果。他在 Arkham 平台标记的实体地址补充了这项调查的数据，另外 7 个地址持有 891.13 枚比特币，价值 6323 万美元。 此前消息，ZachXBT 声称 Lazarus Group 在四年内已将 2 亿美元被盗加密货币洗钱为法定货币。

7月26日消息，慢雾发推称，CoinsPaid、Atomic 与 Alphapo 攻击者或均为朝鲜黑客组织 Lazarus Group。慢雾表示，TGGMvM 开头地址收到了与 Alphapo 事件有关 TJF7md 开头地址转入的近 1.2 亿枚 TRX，而 TGGMvM 开头地址在 7 月 22 日时还收到了通过 TNMW5i 开头和 TJ6k7a 开头地址转入的来自 Coinspaid 热钱包的资金。而 TNMW5i 开头地址则曾收到了来自 Atomic 攻击者使用地址的资金。