FBI 称朝鲜黑客窃取了日本交易所 3.08 亿美元加密货币

2024年12月27日17:19:38评论35 views字数 939阅读3分7秒阅读模式

朝鲜黑客组织“TraderTraitor”在今年 5 月对日本交易所 DMM Bitcoin 发起攻击，窃取了价值 3.08 亿美元的加密货币。

在一篇简短的帖子中，FBI 将此次攻击归咎于与政府有关的威胁组织TraderTraitor，该组织还被追踪为 Jade Sleet、UNC4899 和 Slow Pisces。

加密货币盗窃案发生在 2024 年 5 月，迫使该平台限制账户注册、加密货币提取和交易，直至调查完成。

本周早些时候，区块链情报公司 Chainalysis 的一份报告将此次攻击归咎于朝鲜威胁组织，但未透露任何具体细节。

攻击链

FBI 在一份简短的公告中表示，TraderTraitor 对 DMM Bitcoin 的攻击始于 2024 年 3 月下旬，当时一名攻击者假装是 LinkedIn 上的合法招聘人员，并接触了日本企业加密货币钱包软件公司 Ginco 的一名员工。

黑客向 Ginco 员工发送了一份工作简历，要求其在 GitHub 上进行入职前测试，该员工可以访问其雇主的钱包管理系统。这种策略在朝鲜威胁组织中很流行 [ 1、2 ]。

受害者收到了一段恶意 Python 代码，将其复制到个人 GitHub 页面，以便进行测试。然而，这段代码破坏了计算机系统，并允许 TraderTraitor 渗透到 Ginco，然后横向移动到 DMM。

FBI 解释说：“2024 年 5 月中旬之后，TraderTraitor 攻击者利用会话 cookie 信息冒充受感染的员工，并成功获取了 Ginco 未加密通信系统的访问权限。”

该机构表示：“2024 年 5 月下旬，攻击者可能利用此访问权限操纵 DMM 员工的合法交易请求，导致 4,502.9 BTC 损失，在攻击时价值 3.08 亿美元。”

自 2022 年 TraderTraitor 开始使用虚假应用程序攻击区块链领域以来，美国当局一直在监视其活动。

2023 年，GitHub 警告称，平台上的特定威胁组织正在开展一项社会工程活动，目标是区块链、加密货币、在线赌博和网络安全领域开发人员的账户。

随后，FBI 警告称，TraderTraitor 正准备套现当年从各个来源窃取的 1,580 比特币（当时价值约 4100 万美元）。

信息来源：BleepingComputer

原文始发于微信公众号（犀牛安全）：FBI 称朝鲜黑客窃取了日本交易所 3.08 亿美元加密货币

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

BlackLock 勒索软件日益成为各行各业严重威胁