这是历史上最大的加密货币盗窃案之一，朝鲜政府支持的黑客组织 TraderTraitor (Jade Sleet、PUKCHONG、UNC4899)成功入侵Bybit并窃取了15 亿美元资产。攻击者执行了高度复杂的多阶段攻击，利用社交工程、AWS 会话劫持和恶意 JavaScript 注入来绕过安全控制并窃取资金。

尽管努力抹去取证痕迹，但Google Cloud Mandiant 和 Safe{Wallet}的调查人员还是发现了有关对手的策略、技术和程序 (TTP)的关键细节。本分析分解了攻击链，重点介绍了TraderTraitor 利用的关键漏洞以及保护Web3 基础设施的经验教训。

攻击链分析

1. 初始访问：有针对性的社会工程和恶意软件传播

• 此次攻击始于社会工程学，一名 Safe{Wallet} 开发人员（Developer1）被诱骗下载了一个名为“木马”的 Docker 项目：
• 基于 MC 的股票投资模拟器主要
• 托管在恶意域名getstockprice[.]com 上（两天前注册）。
• 这种攻击媒介与过去的 TraderTraitor 操作一致，加密货币公司的开发人员通过 Telegram 聊天被引诱协助调试带有恶意软件的 Docker 镜像。

2. 执行：恶意软件部署和持久远程访问

• 下载的项目执行了名为 PLOTTWIST 的下一阶段有效载荷，其功能如下：
• 建立对开发人员的macOS机器的持久远程访问。
• 允许与攻击者的基础设施进行命令和控制 (C2) 通信。
• 攻击者删除了恶意软件的痕迹并清除了 Bash 历史记录以阻碍法医调查。

3. 凭证访问和权限提升：AWS 会话劫持

• 利用被入侵的机器，攻击者获得了与 Developer1 关联的AWS 会话令牌的访问权限。
• 这绕过了多因素身份验证 (MFA)控制，允许攻击者：
• 在 Bybit 的 AWS 环境上执行特权操作。
• 将他们的活动与开发者 1 的日常安排相匹配，以逃避检测。
• 值得注意的是，我们观察到攻击者流量来自带有Kali Linux User-Agent 字符串的ExpressVPN IP：
• "distrib#kali.2024"
• 建议使用攻击性安全工具进行进一步利用。

4. 横向移动和 Web3 基础设施操纵

• 攻击者深入Safe{Wallet}基础设施，并将恶意 JavaScript注入该平台的网站。
• 该 JavaScript 代码活跃了两天（2025 年 2 月 19 日至 21 日），可能危及用户交易和凭证。
• 此外，攻击者还利用了：
• Mythic C2框架， APT组织常用的开源后开发工具。

5. 数据外泄：加密货币盗窃和资金洗钱

• 攻击者利用对Bybit 的 Web3 资产的特权访问，执行了大量未经授权的交易，窃取了价值 15 亿美元的加密货币。
• 资金流动分析显示：
• 83％（417,348 ETH）转换为比特币。
• 资金分散在 6,954 个钱包中用于洗钱。
• 77% 的被盗资产仍然可以追踪，但是：
• 20% 已转为暗仓（通过混合服务或 P2P 交易转移）。
• 3％已通过区块链安全干预冻结。

缓解策略和经验教训

对Bybit 和 Safe{Wallet}的攻击凸显了Web3 安全性中的严重漏洞以及国家支持的 APT的复杂性。为了缓解类似的攻击，组织必须：

✔实施零信任安全——严格限制特权访问并实施持续身份验证。✔实施更强大的 AWS 安全控制——使用会话过期策略、最小特权访问和异常检测来防止会话劫持。✔监控开发人员工具和下载——限制开发环境中未经授权的第三方脚本和 Docker 镜像。✔增强 Web3 安全审计——定期扫描恶意 JavaScript 注入和智能合约执行中的意外更改。✔检测和阻止高级 C2 通信——部署网络监控工具来标记Mythic C2、ExpressVPN 出口节点和基于 Kali Linux 的访问模式。✔加强 Web3 资金恢复机制——与区块链取证公司合作，追踪和冻结非法交易。

结论

TraderTraitor对 Bybit 的攻击代表了加密货币盗窃案的复杂性达到了一个新的水平，融合了传统的云攻击、社会工程学和区块链特定策略。2025年已经创下了被盗加密资产的记录，该行业必须采用主动威胁情报和增强的安全框架来对抗朝鲜网络犯罪集团等民族国家行为者。

Web3 安全不再仅仅是用户的责任——它需要整个行业的响应。

原文始发于微信公众号（KK安全说）：朝鲜 TraderTraitor 黑客15 亿美元的攻击链分析