朝鲜黑客涉嫌窃取日本加密货币交易所 4,500 比特币

与臭名昭著的 Lazarus 黑客组织有关的朝鲜黑客被认定为今年早些时候从日本加密货币交易所 DMM Bitcoin 窃取超过 4,500 比特币的幕后黑手。

美国联邦调查局 (FBI) 联合美国国防部网络犯罪中心及日本警察厅披露，名为 TraderTraitor（Lazarus 旗下分支）的黑客于 5 月份成功从 DMM 窃取了价值 3.08 亿美元的资金，并详细说明了朝鲜黑客的窃取过程。

对此次黑客攻击的调查发现，2024 年 3 月下旬，一名朝鲜网络攻击者在 LinkedIn 上假扮招聘人员，联系了日本企业加密货币钱包软件公司 Ginco 的一名员工。该威胁行为者向目标发送了一个 URL，该 URL 链接到一个恶意 Python 脚本，伪装成 GitHub 页面上的入职前测试。受害者将 Python 代码复制到他们的个人 GitHub 页面，随后遭到入侵。

获得访问权限后，TraderTraitor 黑客耐心等待，直到 5 月利用他们的访问权限。为了窃取比特币，攻击者利用会话 cookie 信息冒充受感染的员工，并成功获得 Ginco 未加密通信系统的访问权限。据信，黑客利用此访问权限操纵了 DMM 员工的合法交易请求，导致 4,502.9 比特币被盗。

被盗的比特币随后被转移到 TraderTraitor 控制的钱包，最终落入朝鲜政府手中。

美国联邦调查局在一份声明中指出：“美国联邦调查局、日本国家警察厅以及其他美国政府和国际合作伙伴将继续揭露和打击朝鲜利用非法活动（包括网络犯罪和加密货币盗窃）为该政权赚取收入的行为。”

朝鲜和 Lazarus 的一个分支机构参与此次黑客攻击并不令人意外，因为 DMM 遭到黑客攻击并不是 Lazarus 第一次针对加密货币交易所。

2022 年，Lazarus 涉嫌对 Ronin Network 的黑客攻击，导致价值 6.15 亿美元的加密货币被盗；最近，在 7 月，该组织又涉嫌从印度加密货币交易所 WazirX 盗窃价值 2.349 亿美元的加密货币。