HackerNews 编译，转载请注明出处： 据网络安全公司 Sucuri 报告，威胁行为者正在利用 Google Tag Manager（GTM）向基于 Magento 的电商网站部署信用卡窃取恶意软件。 这些恶意代码表面上看似用于网站分析和广告目的的常规 GTM 和 Google Analytics 脚本，但实际上包含了一个混淆的后门，能够为攻击者提供持续访问权限。截至发稿时，已有三个网站被发现感染了相关 GTM 标识符（GTM-MLHK2N68），低于 Sucuri 报告的六个。GTM 标识符是指包含各种跟踪代码（如 Google Analytics、Facebook Pixel）和在满足特定条件时触发的规则的容器。 进一步分析显示，恶意软件是从 Magento 数据库表 “cms_block.content” 中加载的，GTM 标签包含一个编码的 JavaScript 负载，用作信用卡窃取器。安全研究员 Puja Srivastava 表示：“该脚本旨在收集用户在结账过程中输入的敏感数据，并将其发送到攻击者控制的远程服务器。” 恶意软件执行后，会从结账页面窃取信用卡信息并发送到外部服务器。这并非 GTM 首次被用于恶意目的。2018 年 4 月，Sucuri 曾揭露该工具被用于恶意广告活动。 此次事件发生在该公司详细描述另一场 WordPress 活动数周之后，该活动可能利用插件漏洞或受攻击的管理员账户安装恶意软件，将网站访客重定向至恶意 URL。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

科技媒体 decrypt 2 月 8 日发布博文，报道称有黑客在暗网论坛发帖，声称持有 2000 万 OpenAI 用户账户的登录凭据，并开始公开兜售。 OpenAI 公司表示目前已紧急启动调查，初步排查证据表明其系统并未遭受攻击，但用户仍需警惕潜在风险，并采取必要安全措施。 一位匿名黑客在暗网论坛发布俄语信息，声称拥有超过 2000 万个 OpenAI 账户的访问代码，并称之为“金矿”，还提供了包含电子邮件地址和密码的样本数据。IT之家附上图片如下： 有安全研究人员对样本数据进行了验证，发现其中至少有两个电子邮件地址无效，该用户在论坛上的其他帖子也与窃取日志有关。目前相关帖子已被删除，这让此次泄露事件的真实性存疑。 OpenAI 已发表声明，表示正在认真对待此事，但尚未发现任何证据表明 OpenAI 系统遭到入侵。即使此次事件最终被证实为虚惊一场，用户也应提高安全意识，采取多种措施保护自己的 OpenAI 账户。 转自军哥网络安全读报，原文链接：https://www.ithome.com/0/829/406.htm 封面来源于网络，如有侵权请联系删除

Sysdig的研究揭示了一个令人担忧的现象：一个针对大型语言模型（LLM）的黑市正在形成。ORP（OpenAI反向代理）运营商向攻击者提供未经授权的被盗账户访问权限，从而获取巨额利润。本文将深入剖析攻击者如何窃取访问权限，并利用LLM进行牟利。 DeepSeek遭遇LLMjacking攻击，云成本急剧飙升 自2024年5月首次被发现以来，LLMjacking攻击呈现出迅速演变的趋势，攻击范围不断扩展至新的大型语言模型，例如DeepSeek。据报道，DeepSeek-V3发布仅数天后，就被集成到ORP实例中，这充分展示了攻击者惊人的适应能力。 LLMjacking的驱动因素在于基于云的LLM使用相关的高成本。攻击者通过入侵账户，利用这些昂贵的服务而不支付费用。根据TRT的最新发现，LLMjacking已经成为一种成熟的攻击向量，线上社区积极分享相关工具和技术。 TRT观察到LLMjacking的牟利行为有所增加，攻击者通过ORP出售LLM访问权限。其中一个实例，根据报道每月售价为30美元。然而，运营商往往低估了与LLM使用相关的成本。研究人员注意到，在一个实例中，仅4.5天的运行时间就产生了近5万美元的成本，其中Claude 3 Opus是最昂贵的。 攻击者运营的一个ORP实例（通过Sysdig） 资源利用的规模 在观察到的ORP中，总令牌（LLM生成的单词、字符集或单词/标点符号的组合）的使用量超过20亿，突显了资源利用的规模之大。受害者是凭证被盗用的合法账户持有者。 ORP使用仍然是LLMjacking的流行方法。ORP服务器作为各种LLM的反向代理，可以通过Nginx或TryCloudflare等动态域名暴露，有效地掩盖攻击者的来源。这些代理通常包含来自不同提供商（如OpenAI、Google AI和Mistral AI）的众多被盗API密钥，使攻击者能够向他人提供LLM访问权限。 研究人员在博客文章中指出：“Sysdig TRT发现超过十几个代理服务器使用被盗凭证跨多个不同服务，包括OpenAI、AWS和Azure。LLM的高成本是网络犯罪分子选择窃取凭证而不是支付LLM服务费用的原因。” 在线社区对LLMjacking的推动 4chan和Discord等在线社区通过ORP促进了LLM访问的共享。Rentry.co被用于共享工具和服务。研究人员在蜜罐环境中的LLM提示日志中发现了许多ORP代理，其中一些使用自定义域名，另一些则使用TryCloudflare隧道，最终追溯到攻击者控制的服务器。 凭证盗窃：LLMjacking的关键环节 凭证盗窃是LLMjacking的一个重要方面。攻击者针对易受攻击的服务，使用验证脚本来识别访问ML服务的凭证。公共存储库也提供了暴露的凭证。定制的ORP，通常为隐私和隐蔽性而修改，被用于访问被盗账户。 应对LLMjacking：关键措施 为应对LLMjacking攻击，保护访问密钥并实施强大的身份管理至关重要。最佳实践包括避免硬编码凭证、使用临时凭证、定期轮换访问密钥，以及监控暴露的凭证和可疑账户行为。   转自FREEBUF，原文链接：https://www.freebuf.com/news/421317.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 惠普企业（HPE）在 2023 年 5 月遭到俄罗斯国家支持的黑客组织 Cozy Bear（也称为 Midnight Blizzard、APT29 和 Nobelium）攻击后，正在通知员工其数据被盗。该组织被认为隶属于俄罗斯对外情报局（SVR），还与 2020 年 SolarWinds 供应链攻击等其他重大事件有关。 根据向新罕布什尔州和马萨诸塞州总检察长办公室提交的文件，HPE 上个月开始向至少 16 名员工发送数据泄露通知信，这些员工的驾照、信用卡号码和社会安全号码等信息被盗。HPE 在信中表示：“HPE 的取证调查确定，某些个人的个人信息可能已被未经授权访问。”并称“2025 年 1 月 29 日，HPE 开始根据适用法律向受影响的个人发出通知。” 当被问及此次数据泄露影响的员工人数时，HPE 发言人表示：“只有少数 HPE 团队成员的邮箱被访问，涉及的信息仅限于这些邮箱中的内容。” HPE 首次披露此次事件是在 2024 年 1 月 29 日的 SEC 文件中，当时公司表示，2023 年 12 月 12 日被告知，疑似俄罗斯黑客在 2023 年 5 月利用被盗账号入侵了其基于云的 Office 365 邮箱环境。HPE 当时表示：“我们确定，这个国家级黑客从 2023 年 5 月开始访问并窃取了 HPE 少数邮箱中的数据，这些邮箱属于我们网络安全、市场、业务部门和其他职能部门的个人。我们认为该国家级黑客是 Midnight Blizzard，也称为 Cozy Bear。” HPE 还表示，被访问的数据仅限于用户邮箱中的信息，并将继续调查并按要求发出适当通知。 同一伙黑客还入侵了 SharePoint 服务器。在 SEC 文件中，HPE 补充说，Office 365 事件可能与 2023 年 5 月的另一起入侵事件有关，当时威胁行为者访问了公司的 SharePoint 服务器并窃取了文件。 HPE 此前曾遭入侵。2018 年，中国黑客入侵了 HPE 的网络，并利用该访问权限入侵了客户的设备。2021 年，HPE 披露其 Aruba Central 网络监控平台的数据存储库被入侵，导致威胁行为者获取了有关受监控设备及其位置的信息。 更近的事件。2024 年 2 月和 2025 年 1 月，HPE 开始调查其他潜在安全漏洞，此前威胁行为者 IntelBroker 声称窃取了 HPE 的凭证、源代码和其他敏感信息。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在Pwn2Own Automotive 2025黑客大赛的第二天，安全研究人员两次攻破了特斯拉的Wall Connector电动汽车充电器。 此外，他们还发现了WOLFBOX、ChargePoint Home Flex、Autel MaxiCharger、Phoenix Contact CHARX、EMPORIA电动汽车充电器，以及Alpine iLX-507、Kenwood DMX958XR、Sony XAV-AX8500车载信息娱乐系统（IVI）中的23个零日漏洞。 PHP Hooligans团队率先利用未检查最小值的数字范围比较零日漏洞攻破了特斯拉Wall Connector，随后Synacktiv团队也通过充电连接器攻破了特斯拉的电动汽车充电器，而这种攻击方式此前从未公开演示过。 当天，在特斯拉Wall Connector的黑客攻击尝试中，发生了两次漏洞碰撞：一次由PCAutomotive团队发起，另一次由Summoning团队的Sina Kheirkhah发起，他利用了两个已知漏洞的漏洞链。 根据Pwn2Own Tokyo 2025大赛规则，比赛期间所有目标设备都必须安装所有安全更新并运行最新的操作系统版本。 在比赛第二天，趋势科技的零日漏洞计划（Zero Day Initiative）为23个零日漏洞颁发了335,500美元的现金奖励。目前，Sina Kheirkhah在“Pwn大师”排名中领先。 在Pwn2Own Automotive大赛首日，安全研究人员利用了16个独特的零日漏洞，并获得了382,750美元的现金奖励。比赛结束后，供应商将有90天的时间开发和发布安全补丁，然后ZDI才会公开披露这些零日漏洞。 Pwn2Own Automotive 2025黑客大赛将于1月22日至1月24日在日本东京举行的Automotive World大会上，专注于汽车技术的攻击。 黑客将瞄准汽车操作系统（如Automotive Grade Linux、Android Automotive OS和BlackBerry QNX）、电动汽车充电器和车载信息娱乐系统。 尽管特斯拉还提供了Model 3/Y（基于Ryzen）的等效台式设备，但在比赛日程公布之前，没有安全研究人员注册尝试攻击该公司的Wall Connector。第二天的日程安排和每项挑战的结果也可在此处查看。 一年前，在首届Pwn2Own Automotive东京大赛上，安全研究人员因两次攻破特斯拉并利用多个电动汽车系统中的49个零日漏洞，获得了1,323,750美元的奖励。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

  HackerNews 编译，转载请注明出处： 入侵教育科技巨头PowerSchool的黑客在勒索要求中声称，他们窃取了6240万学生和950万教师的个人数据。 PowerSchool是为K-12学校和学区提供云计算软件解决方案的供应商，提供包括注册、沟通、考勤、员工管理、学习系统、分析和财务等工具。 1月7日，PowerSchool披露其遭受网络攻击，黑客利用盗取的凭证访问了该公司PowerSource客户支持门户。 通过这一访问，黑客使用客户支持维护工具从学区的PowerSIS数据库中下载了学生和教师的数据。 根据BleepingComputer的首次报道和相关FAQ，敏感信息如社会保障号、医疗信息和成绩等已被窃取，部分受影响的学生数据受到影响。 该FAQ还提到，PowerSchool已支付赎金以防止被窃取的数据被私下泄露，并看到黑客声称删除了这些数据的视频。 尽管该公司在客户FAQ中比其他安全披露更为透明，但仍未提供具体的受影响学生和教师数量，这令家长、教师和学校管理员感到沮丧。 然而，BleepingComputer获得了更多信息，揭示了此次数据泄露的影响。 超过6240万学生受影响 根据多个消息来源，PowerSchool攻击的黑客声称，他们在向公司提出勒索要求时，窃取了来自美国、加拿大及其他国家的6505个学区的数据。 BleepingComputer被告知，此次PowerSchool数据泄露影响了624888628名学生和9506624名教师。   需要注意的是，加拿大学区的数字通常大于美国学区，因为这些学区管理特定地区的所有学校。 尽管PowerSchool尚未评论具体的受影响人数，并表示调查仍在进行中，但他们向BleepingComputer强调，数据泄露的具体情况因学区而异。 PowerSchool表示，学区根据其政策要求决定在SIS数据库中存储哪些信息。因此，预计不到四分之一的受影响学生的社会保障号在此次泄露中被暴露。 公司还表示，他们有云端和本地托管的PowerSchool SIS客户。对于自托管数据库的学区，由于需要学区共享信息进行分析，数据审查变得更为复杂。 PowerSchool在回应关于我们报道的问题时，向BleepingComputer分享了以下声明： “我们理解我们在PowerSchool SIS上有一个非常庞大的客户群，但我们认为有必要强调，大多数涉及的个人——实际上超过四分之三——并未被泄露社会保障号。我们收到了很多关于涉及数据类型的问题，很难一概而论，因为答案因客户而异，并且取决于客户的选择及州或学区的政策要求。” “我们深切关心我们服务的学生、教师和家庭，完全致力于为他们提供支持。PowerSchool将为所有受影响的学生和教育工作者提供两年的免费身份保护服务和两年的免费信用监控服务。无论个人社会保障号是否被泄露，我们都会提供这些服务（这意味着我们无论是否被法规要求都将这样做）。我们还将代表我们的客户向州检察总长办公室、教育工作者、学生、家长和其他受影响方发出通知。我们真诚希望减轻这些通知对我们的客户和他们所在机构的负担。” PowerSchool表示，他们将为所有受影响的学生和教育工作者提供两年的免费身份保护和信用监控服务。 公司还将代表客户向州检察长办公室及相关人员发出数据泄露通知，但尚不清楚具体时间。 此外，PowerSchool承诺将在1月17日发布基于CrowdStrike调查的事件报告，但该报告尚未发布。 当被问及报告何时可用时，PowerSchool表示CrowdStrike仍在完成最终的法医报告，报告完成后将提供给客户。 在此期间，PowerSchool已在其客户专用FAQ中发布更新，表示客户可以获得有关目前已知情况的保密CrowdStrike事实说明。 PowerSchool还建立了一个专门的公共网站，供受影响人员关注进一步更新。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 惠与科技（HPE）正在调查一起新的安全事件，黑客声称从该公司开发环境中窃取了文档。 HPE向BleepingComputer表示，目前尚未发现任何安全漏洞的证据，但公司正在调查黑客的声称。 HPE发言人Clare Loxley告诉BleepingComputer：“HPE在1月16日得知一个名为IntelBroker的黑客组织声称持有属于HPE的信息。” 她补充道：“HPE立即启动了网络响应程序，禁用了相关凭证，并展开调查以评估这些声称的真实性。目前，我们的业务未受影响，且没有证据表明客户信息受到牵连。” IntelBroker宣布将出售据称从HPE网络中窃取的信息，声称他们至少有两天时间可以访问HPE的API、WePay以及（公开和私密的）GitHub代码库，并窃取了证书（私钥和公钥）、Zerto和iLO源代码、Docker构建文件以及用于交付的旧版用户个人信息。 IntelBroker还上传了另外一个数据档案（包括凭证和访问令牌），这些数据据称是从HPE系统中窃取的，时间是在2024年2月1日。该公司当时也表示正在调查黑客的声称，但没有发现任何安全漏洞的证据。 IntelBroker因入侵DC Health Link而声名狼藉，该组织负责管理美国国会众议院成员的医保计划，此次事件导致170,000名受影响者的个人数据泄露，并引发了国会听证会。 与IntelBroker相关的其他事件还包括入侵诺基亚、思科、欧洲刑警组织、家得宝、Acuity等，以及涉嫌入侵AMD、美国国务院、Zscaler、福特汽车和通用电气航空等。 HPE曾在2018年遭到APT10中国黑客组织的入侵，黑客通过该次入侵获得了对HPE部分系统的访问权限，并利用该权限攻击客户设备。 更近期的是，HPE在2021年披露，其Aruba Central网络监控平台的数据仓库也遭到入侵，攻击者得以访问受监控设备的数据及其位置信息。 HPE还透露，去年其Microsoft Office 365电子邮件环境在2023年5月遭到入侵，攻击者被认为是与俄罗斯对外情报局（SVR）相关的APT29黑客组织。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据观察，黑客在不同的攻击活动中，将恶意代码隐藏在图片中，以传播诸如VIP键盘记录器和0bj3ctivity信息窃取器之类的恶意软件。 惠普狼安全（HP Wolf Security）在其与《黑客新闻》分享的2024年第三季度威胁洞察报告中指出：“在这两次攻击活动中，攻击者将恶意代码隐藏在上传到文件托管网站archive[.]org的图片中，并使用相同的.NET加载器来安装其最终的有效载荷。” 攻击始于一封伪装成发票和采购订单的钓鱼邮件，诱骗收件人打开恶意附件，如Microsoft Excel文档。打开这些文档后，会利用Equation Editor（CVE-2017-11882）中的已知安全漏洞下载VBScript文件。 该脚本旨在解码并运行一个PowerShell脚本，该脚本会从archive[.]org上托管的一个图片中提取Base64编码的代码，然后将其解码为.NET可执行文件并执行。 .NET可执行文件作为加载器，从给定URL下载VIP键盘记录器并运行，使威胁行为者能够从受感染的系统窃取包括键盘输入、剪贴板内容、屏幕截图和凭据在内的广泛数据。VIP键盘记录器与Snake键盘记录器和404键盘记录器存在功能重叠。 另一次类似的攻击活动被发现通过电子邮件向目标发送恶意归档文件。这些邮件伪装成询价请求，旨在诱使收件人打开归档文件内的JavaScript文件，然后启动PowerShell脚本。 与前面的案例类似，PowerShell脚本会从远程服务器下载一张图片，解析其中的Base64编码代码，并运行相同的基于.NET的加载器。不同的是，这次攻击链的最终结果是部署了一个名为0bj3ctivity的信息窃取器。 两次攻击活动的相似之处表明，黑客正在利用恶意软件工具包来提高整体效率，同时降低制作攻击所需的时间和技术专长。 惠普狼安全还表示，它观察到恶意行为者利用HTML走私技术，通过AutoIt释放器投放XWorm远程访问木马（RAT），这与之前以类似方式分发AsyncRAT的攻击活动相呼应。 “值得注意的是，HTML文件带有表明它们是在GenAI的帮助下编写的标志，”惠普表示。“这一活动表明，在攻击链的初始访问和恶意软件投放阶段，GenAI的使用正在不断增加。” “事实上，黑客从GenAI中获得了诸多好处，从扩大攻击规模、创建可能提高感染率的变种，到使网络防御者更难进行归因。” 不仅如此，黑客还创建了GitHub存储库，宣传视频游戏作弊和修改工具，以便使用.NET释放器部署Lumma Stealer恶意软件。 惠普安全实验室的首席威胁研究员亚历克斯·霍兰德（Alex Holland）表示：“分析过的这些攻击活动进一步证明了网络犯罪的商品化。随着数字恶意软件工具包更加自由、实惠和易用，即使技能有限、知识有限的新手也能拼凑出有效的感染链。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 艾利产品公司警告称，其网站遭到黑客入侵，导致客户信用卡和个人信息被盗，发生数据泄露事件。 艾利公司是一家生产销售自粘标签、服装品牌元素及提供印刷服务的美国公司。 在向受影响的客户发送的数据泄露通知中，艾利公司发现他们于2024年12月9日遭到攻击。 经过数字取证专家的内部调查，发现威胁行为者已于2024年7月18日在公司网上商店域名“avery.com”上植入了信用卡侧录器。 因此，2024年7月18日至12月9日期间，客户在艾利公司网站上输入的敏感支付信息被泄露给了威胁行为者。 “2024年12月9日，艾利公司发现与某些系统相关的勒索软件攻击，”通知中写道。 “艾利公司立即在取证专家的协助下展开调查，以确定活动的性质和范围。” “我们的调查显示，一名未经授权的入侵者在2024年7月18日至12月9日期间，在我们的网站avery.com上插入了恶意软件，用于‘窃取’信用卡信息。” 此次泄露事件中，以下数据遭到泄露： 姓名 账单和送货地址 电子邮件地址 电话号码 支付卡号、安全验证码（CVV）和到期日 购买金额 未泄露的信息包括：社会保险号、驾照号、政府颁发的身份证号及出生日期。 然而，已泄露的数据足以让不法分子以受害者名义进行欺诈交易，并在其账户中进行未经授权的购买。 “我们尚不清楚欺诈费用是否与我们的网站事件有关，但现在看来，由于我们收到两封客户邮件，表明他们产生了欺诈费用或收到网络钓鱼邮件，因此支付卡（及其他）信息可能已被窃取，”数据泄露通知继续写道。 “本月我们收到多起类似报告。因此，我们向您发送此通知，以便您采取措施保护自己。” 根据缅因州总检察长门户网站上关于数据泄露的条目，此次事件影响了61,193名艾利客户。 为减轻风险，艾利公司通过Cyberscout提供12个月的免费信用监控服务。 还建议通知收件人警惕未经请求的通信，并立即向银行和有关部门报告其账户上的任何可疑活动。 艾利公司还设立了专线，解答客户对此次事件的疑问和担忧。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜关联的Lazarus Group被指为针对寻找Web3和加密货币领域自由职业的软件开发者发起新一轮网络攻击行动——“Operation 99”，旨在传播恶意软件。 SecurityScorecard公司威胁研究与情报高级副总裁Ryan Sherstobitoff在今日发布的一份新报告中指出：“该行动始于假扮成招聘人员在领英等平台发布信息，以项目测试和代码审查为诱饵吸引开发者。” “一旦受害者上钩，他们就会被引导克隆一个看似无害实则暗藏危机的恶意GitLab仓库。克隆的代码会连接到命令与控制（C2）服务器，从而将恶意软件植入受害者环境。” 该行动受害者遍布全球，其中意大利受害者最为集中。阿根廷、巴西、埃及、法国、德国、印度、印度尼西亚、墨西哥、巴基斯坦、菲律宾、英国和美国等地也有少量受害者。 该网络安全公司表示，其于2025年1月9日发现的这一行动建立在Lazarus Group此前攻击中使用的以工作为主题的战术基础上，如“Operation Dream Job”（又称NukeSped），此次行动特别针对Web3和加密货币领域的开发者。 “Operation 99”的独特之处在于，它通过一个精心设计的招聘计划诱骗开发者参与编码项目，该计划涉及制作虚假的领英账号，然后将开发者引导至恶意GitLab仓库。 攻击的最终目的是部署数据窃取植入程序，从开发环境中提取源代码、密钥、加密货币钱包密钥和其他敏感数据。 这些程序包括Main5346及其变体Main99，它们作为另外三个有效载荷的下载器—— Payload99/73（及其功能相似的Payload5346），用于收集系统数据（如文件和剪贴板内容）、终止网页浏览器进程、执行任意操作并建立与C2服务器的持久连接； Brow99/73，用于从网页浏览器中窃取数据，以促进凭据盗窃； MCLIP，用于实时监控和窃取键盘和剪贴板活动。 该公司表示：“通过攻击开发者账户，攻击者不仅窃取知识产权，还能访问加密货币钱包，从而实现直接财务盗窃。针对私钥和密钥的定向盗窃可能导致数百万数字资产被盗，进而推动Lazarus Group的财务目标。” 该恶意软件架构采用模块化设计，灵活且适用于Windows、macOS和Linux操作系统。这也凸显了国家网络威胁不断演变和适应的本质。 “对于朝鲜而言，黑客攻击是创造收入的生命线，”Sherstobitoff表示，“Lazarus Group持续将窃取的加密货币用于支持该政权的野心，积累了惊人的资金。随着Web3和加密货币行业的蓬勃发展，‘Operation 99’行动聚焦于这些高增长领域。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文