HackerNews 编译，转载请注明出处：

周六，KelpDAO 去中心化金融（DeFi）项目遭遇 2.9 亿美元加密货币盗窃，幕后黑手很可能是受朝鲜政府支持的黑客。

据报道，此次攻击还影响了借贷协议 Compound、Euler 和 Aave，...

HackerNews 编译，转载请注明出处： 韩国至少有六家机构已成为黑客组织“Lazarus Group”的攻击目标，此次行动代号为“SyncHole行动”。 根据卡巴斯基今日发布的报告，该活动针对韩国的软件、IT、金融、半导体制造和电信行业。最早的入侵证据于2024年11月首次被发现。...

HackerNews 编译，转载请注明出处： OKX Web3 决定暂停其去中心化交易所（DEX）聚合器服务，以实施安全升级。此前有报道称，臭名昭著的朝鲜 Lazarus 黑客利用该服务进行了一次 15 亿美元的加密货币盗窃。 OKX 是一家领先的全球加密货币交易所，提供广泛的交易选项，包括现货和衍生品交易以及去中心化金融（DeFi）服务。截至 2024 年 12 月，OKX 在中心化交易所中占据全球现货交易市场份额的约 8.0%，月交易量约为 2300 亿美元，是全球顶级交易所之一。...

HackerNews 编译，转载请注明出处： 知名朝鲜黑客组织Lazarus近日被曝在npm（Node包管理器）平台投放6个恶意软件包，目前已累计被下载330次。这些软件包通过窃取账户凭证、部署后门程序等手段，专门针对加密货币敏感信息实施窃取。 网络安全公司Socket研究团队发现，此次攻击行动与Lazarus组织过往的软件供应链攻击模式高度吻合。该组织长期潜伏于npm、GitHub和PyPI（Python软件包索引）等开发者平台，通过投毒攻击渗透目标系统。其惯用手法曾导致Bybit交易所遭遇15亿美元加密货币盗窃案，创下历史最高纪录。...

HackerNews 编译，转载请注明出处： 据 SecurityScorecard 报道，朝鲜威胁组织 Lazarus Group 被发现与一种此前未被记录的 JavaScript 植入程序 Marstech1 有关，该程序被用于针对开发者的有限定向攻击。 SecurityScorecard 将此活跃行动称为 “Marstech Mayhem”，恶意软件通过 GitHub 上一个名为 “SuccessFriend” 的开源仓库传播。该账户自2024年7月起活跃，目前已无法在代码托管平台上访问。...

卡巴斯基研究人员观察到，与朝鲜有关的Lazarus Group在一个月的时间里至少针对了两名与同一核相关组织有关的员工。 专家们认为，这些攻击是网络间谍活动“梦想工作行动”（Operation Dream Job，又称NukeSped）的一部分，该行动自至少2020年以来一直在进行。 攻击者使用了复杂的感染链，包括多种类型的恶意软件，如下载器、加载器和后门。这个国家级行为者向两名员工发送了包含恶意文件的压缩文件。...

Microsoft安全威胁情报团队揭露了朝鲜黑客组织Lazarus发起的供应链攻击。这些黑客篡改台湾软件供应商讯连科技的应用程序安装档案，植入恶意功能。目前全球已有100多台设备受害，涉及中国台湾、日本、加拿大、美国等多个国家。 Microsoft通过跟踪木马软件和相关负载发现，此次恶意攻击行为有意避开了受FireEye 、 CrowdStrike 、 Tanium 等安全软件保护的系统，并企图于受害计算机下载伪装成PNG图档的第2阶段恶意负载。一旦在内存中解密并执行另一个可执行文件，黑客就尝试从C2接收命令。...

攻击链 （ncsc.go.kr） 有关这次攻击的详细信息，代号为“Dream Magic”，归因于 Lazarus APT组织，可以参考在这份AhnLab 报告，该报告仅提供韩语版本。

朝鲜官方背景的黑客组织始终依赖供应链攻击和利用0day漏洞作为其网络战策略的一部分。

2023 年 3 月，...

Lazarus 集团被认为是一场新活动的幕后黑手，在该活动中，一家未透露姓名的软件供应商通过利用另一款备受瞩目的软件中的已知安全漏洞而受到损害。 卡巴斯基表示，这些攻击序列最终导致了 SIGNBT 和LPEClient等恶意软件系列的部署，这是威胁行为者用来进行受害者分析和有效负载传输的已知黑客工具。 安全研究员 Seongsu Park表示：“对手表现出了高度的复杂性，他们采用了先进的规避技术，并引入了 SIGNBT 恶意软件来控制受害者。” “这次攻击中使用的 SIGNBT 恶意软件采用了多样化的感染链和复杂的技术。”...

Hackernews 编译，转载请注明出处： 据观察，与朝鲜有关的黑客集团Lazarus利用了影响Zoho ManageEngine ServiceDesk Plus的一个现已修补的关键漏洞，分发了一种名为QuiteRAT的远程访问木马。 网络安全公司Cisco Talos在今天发布的一份分析报告中称，该组织的攻击目标包括欧洲和美国的互联网骨干基础设施和医疗机构。...