Safe{Wallet} 确认朝鲜交易员叛徒黑客在 Bybit 抢劫案中窃取了 15 亿美元

Safe{Wallet} 透露，导致 Bybit 15 亿美元加密货币被盗的网络安全事件是一次“高度复杂的、国家支持的攻击”，并指出此次黑客攻击背后的朝鲜威胁行为者采取措施抹去恶意活动的痕迹，以阻碍调查工作。

该多重签名 (multisig) 平台已聘请 Google Cloud Mandiant 进行取证调查，该平台表示，此次攻击是名为TraderTraitor的黑客组织所为，该组织也被称为Jade Sleet、PUKCHONG 和 UNC4899。

“此次攻击涉及对 Safe{Wallet} 开发人员笔记本电脑（Developer1）的入侵以及对 AWS 会话令牌的劫持，以绕过多因素身份验证（MFA）控制，”报告称。“这位开发人员是极少数拥有更高访问权限以履行职责的人员之一。”

进一步分析表明，威胁行为者于 2025 年 2 月 4 日侵入了开发人员的 Apple macOS 机器，当时该个人下载了一个名为“MC-Based-Stock-Invest-Simulator-main”的 Docker 项目，可能是通过社会工程攻击。该项目与两天前在 Namecheap 上注册的域名“getstockprice[.]com”进行通信。

这是先前的证据表明，TraderTraitor 攻击者通过 Telegram 联系加密货币交易所开发人员，诱骗他们帮助解决 Docker 项目的问题。Docker 项目配置为投放名为 PLOTTWIST 的下一阶段有效载荷，以实现持久远程访问。

目前尚不清楚最近的攻击是否采用了相同的作案手法，正如 Safe{Wallet} 所说“攻击者删除了他们的恶意软件并清除了 Bash 历史记录，以阻止调查工作。”

最终，据说部署到工作站的恶意软件已被用来对公司的亚马逊网络服务（AWS）环境进行侦察，并劫持活跃的 AWS 用户会话以根据开发人员的时间表执行自己的操作，以试图避开监视。

“攻击者利用 Developer1 的 AWS 账户，源自 ExpressVPN IP 地址，其 User-Agent 字符串包含 distrib#kali.2024，”报告称。“此 User-Agent 字符串表明攻击者使用了专为攻击性安全从业人员设计的 Kali Linux。”

据观察，攻击者还部署了开源Mythic 框架，并在 2025 年 2 月 19 日至 21 日的两天内向 Safe{Wallet} 网站注入恶意 JavaScript 代码。

Bybit 首席执行官 Ben Zhou 在本周早些时候发布的最新消息中表示，被盗资金中超过 77% 仍可追踪，20% 已转入黑市，3% 已被冻结。该公司感谢包括 Mantle、Paraswap 和 ZachXBT 在内的 11 方帮助其冻结资产。约 83%（417,348 ETH）已兑换成比特币，并分发到 6,954 个钱包中。受此次黑客攻击影响，2025 年有望成为加密货币盗窃案创纪录的一年。根据区块链安全平台Immunefi 的数据，仅在头两个月，Web3 项目就已损失了惊人的 16 亿美元，比去年同期的 2 亿美元增长了 8 倍。

该公司表示：“最近的攻击凸显了威胁行为者的日益复杂的程度，并凸显了Web3 安全中的严重漏洞。”

“验证你签署的交易是否会产生预期的结果仍然是 Web3 中最大的安全挑战之一，这不仅仅是用户和教育的问题，这是一个需要集体行动的全行业问题。”

来源：https://thehackernews.com/2025/03/safewallet-confirms-north-korean.html