ChainCatcher 메시지에 따르면, Cointelegraph는 BitMEX가 북한의 Lazarus Group 해커의 사이버 공격을 차단했다고 보도했습니다. 이 해커들은 LinkedIn에서 가짜 NFT 협력 제안을 통해 직원들을 겨냥했습니다. BitMEX는 해커의 전략이 복잡하지 않다고 밝혔습니다.전해진 바에 따르면, Lazarus Group은 LinkedIn에서 BitMEX 직원 한 명에게 연락하여 NFT 파트너십을 제안했으며, 실제 목표는 해당 직원이 GitHub 저장소에서 악성 코드를 실행하도록 유도하는 것이었습니다. 직원은 코드 저장소를 검토한 후 의심스러운 코드를 표시했고, BitMEX의 보안 팀은 신속하게 조사하여 혼란스러운 JavaScript를 식별하고 Lazarus와 관련된 인프라를 추적했습니다.

ChainCatcher 메시지에 따르면, Finance Feeds는 북한 해커 조직 Lazarus Group이 최근 공격 대상을 개인 투자자로 전환했으며, 5월 24일 악성 소프트웨어를 통해 한 상점에서 520만 달러 이상을 탈취했다고 보도했습니다. 도난당한 자금은 거래소 지갑, 다중 서명 지갑 및 외부 계좌를 포함한 여러 지갑 유형과 관련이 있습니다.블록체인 분석가 ZackXBT는 해커가 믹서 Tornado Cash를 통해 약 1000 ETH를 전송한 것을 추적했습니다.보안 전문가들은 개인 투자자에게 다음과 같은 방어 조치를 취할 것을 권장합니다: 대규모 자산을 하드웨어 지갑에 저장하고, 이중 인증을 활성화하며, 소프트웨어 패치를 정기적으로 업데이트하고, 의심스러운 링크에 주의하며, 거래 기록을 정기적으로 확인하는 것입니다. 이번 공격은 해당 조직이 기관을 대상으로 하는 전략에서 개인 투자자로 전환하는 변화를 나타냅니다.

ChainCatcher 메시지에 따르면, 로이터 통신은 북한 해커 조직인 Lazarus Group이 미국에 여러 회사를 등록하여 암호화폐 개발자를 겨냥한 사이버 공격을 수행하고 있다고 보도했습니다. 사이버 보안 회사 Silent Push의 보고서에 따르면, 해커들은 뉴멕시코주와 뉴욕주에 Blocknovas LLC와 Softglide LLC와 같은 회사를 등록하고, 허위 신원과 주소를 이용해 위조된 일자리를 통해 악성 소프트웨어를 배포했습니다. FBI는 Blocknovas 도메인을 압수했으며, 이는 개인을 속이고 악성 프로그램을 전파하는 데 사용되었다고 밝혔습니다. 이러한 행위는 미국 재무부와 유엔의 북한 제재 규정을 위반한 것입니다.

ChainCatcher 메시지에 따르면, Cointelegraph는 암호화폐 거래소 eXch가 5월 1일에 운영을 중단한다고 발표했다고 보도했습니다. 이전에 이 거래소가 자금 세탁에 사용되었으며, Bybit의 14억 달러 해킹 사건과 관련된 일부 도난 자금이 포함되었다는 보도가 있었습니다.eXch는 4월 17일 발표에서 관리 팀의 대다수 구성원이 "중단 및 철수" 전략을 채택하기로 투표했다고 밝혔습니다. 이는 북한 해커 조직 Lazarus Group이 해당 플랫폼을 통해 약 3500만 달러의 자금을 세탁했다는 주장에 대한 대응입니다. 이 자금은 Bybit가 당한 14억 달러 해킹 공격에서 발생한 것입니다.이 거래소는 "대서양 간 공동 법 집행 작전"의 목표가 되었다고 주장하며, 이 작전은 그들의 사업을 종료하고 형사 고발을 할 가능성이 있다고 합니다. eXch는 성명에서 "우리는 여러 차례 인프라를 폐쇄하려는 시도를 견뎌내고 운영을 유지했지만, 신호 정보 감시의 목표가 되고, 일부 사람들이 우리의 목적을 왜곡한 적대적인 환경에서 계속 운영하는 것은 의미가 없다고 생각합니다."라고 밝혔습니다. 이 거래소는 처음에 블록체인 탐정이 Lazarus Group의 자금 세탁을 도왔다는 주장을 부인했지만, 2월 해킹 사건에서 발생한 "극히 작은 부분의 자금"을 처리한 사실은 인정했습니다.

ChainCatcher 메시지에 따르면, Spot On Chain 모니터링 결과, 오늘 Lazarus Group(북한 해커)이 40.78개의 WBTC(약 351만 달러)를 판매하여 251만 달러(+251%)의 수익을 올렸습니다 -- 이는 그들이 2년 전에 구매한 것입니다.그들은 2023년 2월에 약 24521달러의 가격으로 99.9만 달러를 들여 WBTC를 구매했으며, 12시간 전에 약 86170달러의 가격으로 1857개의 ETH로 판매했습니다. 해커는 이후 이 이더리움을 3개의 지갑에 분산시켰습니다.

ChainCatcher 메시지에 따르면, Arkham 데이터에 의하면 북한 해커 조직 Lazarus Group이 27분 전에 미지의 주소로 12.929 BTC를 전송했습니다. 최신 데이터에 따르면, Lazarus Group의 BTC 보유량은 1.344만 개로 감소했으며, 가치는 약 11.6억 달러에 해당합니다.

ChainCatcher 메시지에 따르면, Wemade의 블록체인 자회사 Wemix 재단이 해킹 공격으로 약 865만 개의 WEMIX 토큰(약 622만 달러 가치)을 잃었다고 밝혔으며, CEO Kim Seok-hwan은 해커가 북한 조직 Lazarus Group이 아닐 가능성이 높고, 전문 해커가 NFT 플랫폼 Nile의 서비스에서 인증 키를 도용하여 시스템에 침투했다고 전했다. 해커는 이번 공격을 위해 2개월 동안 준비했으며, 비정상 거래를 생성하여 15회의 출금 시도를 했고, 그 중 13회가 성공했다.Kim Seok-hwan은 또한 금요일에 Wemix의 모든 서비스를 재개할 계획이며, 새로운 블록체인 인프라에서 보안 조치를 업그레이드할 것이라고 밝혔다.

ChainCatcher 메시지에 따르면, Bitcoin.com News는 북한 해커 조직인 Lazarus Group이 Bybit를 공격한 후 일부 도난 자산을 비트코인으로 교환하기 시작했다고 보도했습니다. 데이터에 따르면 이 그룹은 현재 13562 BTC를 보유하고 있으며, 이는 약 11.4억 달러에 해당합니다. 이로 인해 북한의 비트코인 보유량이 계속 증가하고 있으며, 현재 엘살바도르(6117 BTC)와 부탄(10635 BTC)을 초과하여 전 세계에서 비트코인 보유량이 세 번째로 큰 정부 기관이 되었습니다. 이는 미국(198109 BTC)과 영국(61245 BTC)에 이어 두 번째입니다.

ChainCatcher 메시지에 따르면, Decrypt는 Socket 연구팀이 새로운 공격에서 북한 해커 조직 Lazarus와 관련된 여섯 개의 새로운 악성 npm 소프트웨어 패키지를 발견했다고 보도했습니다. 이 패키지들은 사용자 자격 증명을 훔치기 위해 백도어를 배포하려고 시도합니다.또한, 이 악성 소프트웨어는 암호화폐 데이터를 추출하고 Solana 및 Exodus 암호 지갑의 민감한 정보를 훔칠 수 있습니다. 공격은 주로 Google Chrome, Brave 및 Firefox 브라우저의 파일과 macOS의 키체인 데이터를 겨냥하며, 개발자가 무심코 이러한 악성 소프트웨어 패키지를 설치하도록 유도합니다.이번에 발견된 여섯 개의 악성 소프트웨어 패키지는 다음과 같습니다: is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency 및 auth-validator. 이들은 "typosquatting"(철자 오류를 이용한 이름 사용)을 통해 개발자가 설치하도록 유도합니다. APT 조직은 이 중 다섯 개의 소프트웨어 패키지에 대해 GitHub 저장소를 생성하고 유지 관리하며, 합법적인 오픈 소스 프로젝트로 가장하여 악성 코드가 개발자에 의해 사용될 위험을 증가시킵니다. 이 패키지는 330회 이상 다운로드되었습니다. 현재 Socket 팀은 이 패키지의 삭제를 요청했으며, 관련 GitHub 저장소 및 사용자 계정을 보고했습니다.Lazarus는 악명 높은 북한 해커 조직으로, 최근 14억 달러 규모의 Bybit 해킹 공격, 4100만 달러의 Stake 해킹 공격, 2700만 달러의 CoinEx 해킹 공격 및 암호화폐 산업의 수많은 다른 공격과 관련이 있습니다.

ChainCatcher 메시지에 따르면, Bitcoin.com News의 보도에 의하면, 북한의 Lazarus 그룹은 거의 10억 달러에 달하는 암호화폐를 축적했으며, 이 중 5.92억 달러의 ETH, 3.19억 달러의 BTC, 심지어 33.7만 달러의 BABYDOGE가 포함되어 있습니다.

ChainCatcher 메시지, "체인 탐정" ZachXBT가 개인 채널에 글을 올려, 어떤 알려지지 않은 피해자가 2월 28일 Tron에서 북한 해커 Lazarus Group의 공격을 받아 약 310만 달러를 잃었으며, 자금은 Tron에서 이더리움으로 이동되었고, ETH는 Tornado Cash에 입금되기 전에 열 개의 주소로 분배되었다고 전했습니다.

ChainCatcher 메시지, Bybit CEO Ben Zhou는 소셜 플랫폼에서 플랫폼 출시 이후 2167개의 보고서를 처리했다고 밝혔습니다.Ben Zhou는 Lazarus 보상 플랫폼의 1.1 버전 주요 업데이트를 발표했습니다. 새 버전은 해커 주소 분석 기능을 추가하여 보상 사냥꾼이 크로스 체인으로 모든 도난 자산을 확인하고 자금 흐름을 완전히 이해할 수 있도록 합니다.플랫폼은 또한 사냥꾼이 보상을 제출할 수 있도록 Discord 채널을 추가하고, 중복 제출을 방지하기 위해 자동 블랙리스트 주소 검사 시스템을 갖추었습니다.또한, 업데이트는 해커 지갑 잔액을 순위로 표시하고, 검증된 보고서에서 보상 사냥꾼의 이름을 표시합니다.

ChainCatcher 메시지, Safe는 X 플랫폼에 Bybit의 해킹 포렌식 보고서에 대한 응답을 게시하며, Lazarus Group이 Bybit에 대한 표적 공격을 감행한 것에 대한 포렌식 검토 결과, Bybit Safe에 대한 공격은 손상된 Safe{Wallet} 개발자 기계를 통해 이루어졌으며, 이로 인해 위장된 악성 거래가 발생했다고 밝혔습니다.Lazarus는 정부 지원을 받는 북한 해커 조직으로, 개발자 자격 증명에 대한 복잡한 사회 공학 공격으로 유명하며, 때때로 제로데이 취약점을 결합하기도 합니다. 외부 보안 연구자들의 포렌식 검토 결과, Safe 스마트 계약이나 프론트엔드 및 서비스의 소스 코드에 취약점이 존재하지 않는 것으로 나타났습니다.최근 사건 발생 후, Safe{Wallet} 팀은 철저한 조사를 진행하였으며, 현재 이더리움 메인넷에서 Safe{Wallet}을 단계적으로 복구하였습니다. Safe{Wallet} 팀은 모든 인프라를 완전히 재구성하고 재구성하였으며, 모든 자격 증명을 교체하여 공격 매개체를 완전히 제거했습니다.조사의 최종 결과가 발표된 후, Safe{Wallet} 팀은 전체 사후 분석을 발표할 예정입니다. Safe{Wallet} 프론트엔드는 여전히 운영 중이며, 추가적인 보안 조치를 취했습니다. 그러나 사용자는 거래 서명 시 각별히 주의하고 경계를 유지해야 합니다.

ChainCatcher 메시지, Bybit CEO Ben Zhou가 소셜 플랫폼에 글을 올리며, "Lazarus 해커 조직의 보상 웹사이트가 온라인에 올라왔으며, Lazarus의 자금 세탁 활동에 대한 투명한 데이터를 보여줍니다."라고 밝혔습니다.총 보상금은 회수된 자금의 10%이며, 모든 자금이 회수될 경우 보상 총액은 1.4억 달러에 이를 수 있습니다. 구체적인 배분은 다음과 같습니다: 5%는 성공적으로 자금을 동결한 기관에, 5%는 자금 추적에 도움을 준 기여자에게 지급됩니다.

ChainCatcher 메시지에 따르면, eXch는 Bitcointalk 포럼의 게시물에서 "이 플랫폼은 Lazarus의 자금 세탁에 관여하지 않으며, 반대 의견은 탈중앙화된 통화의 상호 교환성과 체인 상의 개인 정보 보호가 사라지기를 원하는 일부 사람들의 관점일 뿐이다. 이들은 오랫동안 탈중앙화된 암호화폐를 싫어해왔다."고 밝혔다.eXch는 ByBit 해킹 공격의 일부 자금이 결국 자사 플랫폼 주소로 들어갔음을 인정했지만, 이번 이체는 "고립된 사례"라고 주장했다. eXch 팀은 자금 수익을 "암호화 공간 내외의 개인 정보 보호와 안전을 위해 헌신하는 다양한 오픈 소스 프로젝트"에 기부하겠다고 약속했다.이전에 느린 안개 유사에 따르면, 이미 상당량의 ETH가 eXch를 통해 세탁되어 BTC, XMR 등으로 교환되었기 때문에, 모든 플랫폼은 eXch에서 출발한 자금에 대해 리스크 관리 수준을 높여야 한다고 밝혔다.

ChainCatcher 메시지에 따르면, 느린 안개 창립자 유선은 소셜 플랫폼에 글을 올리며 "증거 분석 및 연관 추적을 통해 우리는 CEX 해킹 사건의 공격자가 북한 해커 조직인 Lazarus Group임을 확인했습니다. 이는 암호화폐 거래 플랫폼을 겨냥한 국가 차원의 APT 공격입니다. 우리는 관련 IOC(위험 지표)를 공유하기로 결정했으며, 여기에는 일부 클라우드 서비스 제공업체, 프록시 등의 IP가 포함됩니다. 주의할 점은 이 글에서 어떤 플랫폼인지, 또는 Bybit인지에 대한 언급이 없으며, 유사한 점이 있다면 정말로 불가능한 것은 아닙니다."라고 전했습니다.공격자는 pyyaml을 이용해 RCE(원격 코드 실행)를 수행하여 악성 코드를 배포하고, 이를 통해 목표 컴퓨터와 서버를 제어했습니다. 이러한 방식은 대부분의 안티바이러스 소프트웨어의 탐지를 우회했습니다. 파트너와 정보를 동기화한 후, 여러 유사한 악성 샘플을 확보했습니다. 공격자의 주요 목표는 암호화폐 거래 플랫폼의 인프라를 침해하여 지갑에 대한 제어권을 확보하고, 이를 통해 지갑 내의 대량 암호 자산을 불법적으로 이전하는 것입니다.느린 안개는 Lazarus Group의 공격 방식을 밝힌 요약 기사를 발표했으며, 사회 공학, 취약점 이용, 권한 상승, 내부 네트워크 침투 및 자금 이동 등 일련의 전술을 분석했습니다. 또한 실제 사례를 바탕으로 APT 공격에 대한 방어 권고를 정리하여, 업계에 참고가 되고 더 많은 기관이 보안 방어 능력을 향상시켜 잠재적 위협의 영향을 줄일 수 있기를 희망합니다.

ChainCatcher 메시지, 체인 탐정 ZachXBT가 개인 채널에 글을 올려, eXch(중앙화 믹서) 팀이 Bybit 안전 사건 해커 팀 Lazarus Group이 3,500만 달러를 세탁하는 데 도움을 준 후, 잘못하여 34개의 ETH(가치 9.6만 달러)를 다른 거래소의 핫 월렛 주소로 보냈다고 밝혔습니다.