ZachXBT：WazirX黑客事件具有朝鲜黑客组织Lazarus Group的攻击特征

金色财经报道，CoinsPaid Media在社交媒体上称，朝鲜黑客组织Lazarus Group正在使用一种新型恶意软件，即一种名为 LightlessCan 的先前未记录的后门，作为虚假招聘骗局的一部分。ESET研究人员警告说，它比以前使用的BlindingCan更难检测。

金色财经报道，慢雾在分析过程中发现 CoinEx 黑客或为朝鲜黑客团伙 Lazarus Group，具体关联如下： 1. 已知的 Alphapo Exploiter (TDrs…WVjr) 通过 TransitSwap 将 TRX 兑换为 ETH 并跨链到地址 (0x22be3b0a943b1bc0ea3aec2cb3ef511f3920a98d) ，故该地址在 ETH 链上也被标记为 Alphapo Exploiter。 2. 黑客地址 0x22be3b0a943b1bc0ea3aec2cb3ef511f3920a98d 在 ETH 链上被标记为 Alphapo Exploiter，在 BSC 链上被标记为 Stake.com Exploiter，即该地址为共用地址 3. 0x75497999432B8701330fB68058bd21918C02Ac59 在 ARB 和 OP 链上被标记为 CoinEx Exploiter，在 Polygon 链上被标记为 Stake.com Exploiter，即该地址为共用地址 因 Stake.com Exploiter 已被 FBI 关联于朝鲜黑客团伙 Lazarus Group，所以 Alphapo Exploiter，Stake.com Exploiter 和 CoinEx Exploiter 或都为朝鲜黑客团伙 Lazarus Group。

金色财经报道，网络安全公司Volexity认为受到美国政府制裁的朝鲜黑客组织Lazarus与涉及使用加密站点感染系统以从第三方窃取信息和加密货币有关。Volexity博客文章显示，Lazarus在6月注册了一个名为bloxholder.com的域名，该域名后来被建立为提供自动加密货币交易服务的企业。Lazarus使用该站点作为网页从用户的系统中窃取私钥和其他数据。 Volexity还发现，将此恶意软件传送给最终用户的技术在10月份发生了变化。该方法演变为使用Office文档，特别是包含宏的电子表格，这是一种嵌入文档中的程序，旨在在计算机中安装Applejeus恶意软件。 金色财经此前报道，Lazarus 于2021 年 2 月被美国司法部 (DOJ)正式起诉，涉及与朝鲜情报组织侦察总局 (RGB) 有关联的组织的一名特工。

7月26日消息，慢雾发推称，CoinsPaid、Atomic 与 Alphapo 攻击者或均为朝鲜黑客组织 Lazarus Group。慢雾表示，TGGMvM 开头地址收到了与 Alphapo 事件有关 TJF7md 开头地址转入的近 1.2 亿枚 TRX，而 TGGMvM 开头地址在 7 月 22 日时还收到了通过 TNMW5i 开头和 TJ6k7a 开头地址转入的来自 Coinspaid 热钱包的资金。而 TNMW5i 开头地址则曾收到了来自 Atomic 攻击者使用地址的资金。

金色财经消息，Alex Smirnov联合创始人 警告所有 Web3 团队，黑客活动可能很普遍。基于电子邮件的网络攻击、跨链协议 deBridge Finance 的受害者表示，其调查显示该行动可能来自与朝鲜有关的 Lazarus Group。 攻击采取了欺骗 deBridge 联合创始人 Alex Smirnov 的电子邮件地址的形式。尽管大多数员工都报告了这封可疑电子邮件，但其中一名员工下载并打开了相关文件。 Smirnov在一篇冗长的推特帖子中表示，该公司对黑客攻击的调查显示出与朝鲜拉撒路集团在其他网络攻击中注意到的攻击向量相似的攻击向量。 “针对 Web3 中所有团队的 PSA，”Smirnov 写道，“这项活动可能很普遍。”

9 月 8 日消息，据FBI官网消息，FBI 已确认黑客组织Lazarus Group对Stake.com被盗4100万美元负有责任。 金色财经曾报道，9 月 4 日，加密预测平台 Stake.com 遭遇黑客攻击。