hth登录:Bybit遭朝鲜金正恩的“网络幽灵”盗15亿美元：Lazar

  在数字时代的暗网中，朝鲜黑客组织Lazarus Group如同一只无形的“网络幽灵”，凭借国家级的资源支持与技术实力，成为全世界网络安全领域的头号威胁。

  自2009年首次活动以来，该组织已从传统金融机构的劫掠者，演变为密码货币行业的顶级掠夺者，累计窃取资金超过30亿美元。

  其行动不仅为朝鲜政权提供了绕过国际制裁的资金渠道，更成为全世界金融与数字安全体系的重大挑战。

  2025年2月21日，密码货币行业遭遇“至暗时刻”——全球顶级交易所Bybit遭黑客攻击，15亿美元资产瞬间蒸发。这不仅刷新了密码货币史上最大盗窃案的记录，更成为人类历史上单次金额最高的黑客事件，远超伊拉克央行10亿美元劫案和2016年DAO黑客事件。

  在这场史诗级攻击中，Lazarus Group展现了令人胆寒的专业素养。他们第一步通过LinkedIn伪造加拿大区块链公司CTO身份，向Bybit工程师发送带有恶意yaml文件的合作协议。

  当受害者使用pyyaml库解析文件时，CVE-2025-8732漏洞被触发，在内存中植入无文件木马。

  攻击者随后潜伏28天，逐步绘制出Bybit的冷钱包管理系统拓扑。通过篡改多重签名智能合约的验证逻辑，将5/7签名机制降级为3/7，并利用零宽度字符隐藏合约界面异常。在周五晚间运维交接时段，他们仅用17分钟就完成了价值15亿美元的ETH/stETH转移。

  区块链分析师ZachXBT的追踪报告显示，被盗资金经历了三重洗白：首先通过Tornado Cash进行128层混合，接着跨链转换为Monero，最终流入马来西亚云顶赌场与缅甸克钦邦玉石矿场。更精妙的是，部分资金通过DeFi协议的闪电贷操作，在USTD稳定币的发行/赎回中实现链上漂白。

  初始分流：使用智能合约自动拆分为892个地址，单笔金额100ETH

  本文将从其起源、攻击手法、重大事件、资金运作及国际应对等多重维度，深度剖析这一神秘组织的全貌。

  在平壤大同江畔的某栋灰色建筑里，400名网络战士正通过加密信道接收最新指令。

  他们的工位前摆放着《区块链协议逆向工程》与《智能合约漏洞图谱》，这些由朝鲜侦察总局第121局培养的精英，正是令全球金融机构闻风丧胆的Lazarus Group核心力量。

  这支网络部队的起源可追溯至1998年的电子战研究室，初期仅12名金日成综合大学计算机系精英，主要任务是渗透韩国军方网络。

  2014年索尼影业被黑事件后，其编制扩充至300人，年预算提升至1.2亿美元。

  2022年Axie Infinity 6.25亿美元劫案的成功，使其获得朝鲜最高领导层直接授命，转型为支撑国家经济命脉的数字提款机。

  Lazarus Group是朝鲜政权为实现“网络战”目标而精心打造的“网络军队”。其成员多毕业于平壤科技大学和平壤自动化大学，这两所高校以培养顶尖计算机人才著称，课程涵盖区块链、密码学等前沿领域，甚至邀请国际专家授课。

  学生需通过严苛的选拔（淘汰率超98%），毕业后被分配至军方情报机构，如隶属侦察总局的“121局”。

  这种举国培养模式，使得Lazarus Group的技术实力远超普通犯罪团伙。

  该组织的核心任务是为朝鲜政权筹集资金，尤其是规避国际制裁的“外汇来源”。

  据美国FBI分析，其窃取的加密货币被用于资助朝鲜军事项目（如弹道导弹研发），甚至有可能覆盖该国军事预算的45%。

  例如，2023年对Atomic Wallet等平台的攻击直接关联到朝鲜导弹计划的资金需求。

  孟加拉国央行事件（2016年）：通过入侵SWIFT系统，Lazarus Group试图窃取10亿美元，最终成功转移8100万美元。这一事件暴露了全球金融系统的脆弱性。

  日本Coincheck交易所攻击（2018年）：盗取5.3亿美元密码货币，成为当时史上规模最大的黑客事件。

  自2017年起，Lazarus Group将重心转向密码货币行业，攻击目标涵盖交易所、跨链桥、DeFi平台及个人用户：

  跨链桥攻击：2022年针对Ronin Network（损失6亿美元）、Harmony（1亿美元）等平台的攻击，利用智能合约漏洞窃取资金。

  2023年“爆发年”：全年窃取超3.1亿美元，包括Atomic Wallet（1亿美元）、4100万美元）等案例，手法涉及社会工程学与零日漏洞利用。

  除直接窃取外，该组织还通过勒索软件（如VHD病毒）攻击亚太金融机构，并在2020年首次尝试通过加密挖矿（门罗币）获利。

  Lazarus Group擅长通过社会化媒体（如LinkedIn、Twitter）伪装成招聘人员、投资机构员工（如模仿Fenbushi Capital）或客户，诱骗目标下载恶意文件。例如：

  伪造密码货币交易所的“外包合作”邀请，发送含木马的文档（如.dmg或.exe文件）。

  利用COVID-19等热点话题设计钓鱼邮件，诱导用户启用宏执行恶意代码。

  多阶段渗透：以ThreatNeedle恶意软件为例，攻击者通过钓鱼邮件植入后门，横向移动至内网，最终窃取敏感数据。其流程包括凭证收集、路由器控制及数据外泄。

  零信任环境突破：通过感染同时连接内外网的管理员设备，绕过网络隔离，例如在2020年攻击中利用CentOS路由器作为跳板。

  链上资金混淆：使用混合器（如CoinJoin）、跨链桥转移资金，并通过法币OTC渠道洗钱。

  Lazarus Group通常将赃款分散至多个区块链地址，再通过混合服务掩盖来源。例如，2024年1月，其从某地址提取100万美元比特币，并分批次转移至关联钱包，试图规避链上分析。然而，区块链追踪公司（如Chainalysis、Arkham）已能通过交易模式识别其资金流向。

  资金最终通过赌场洗钱、虚假贸易公司或东南亚OTC柜台转换为法币。例如，孟加拉国央行事件中，8100万美元经菲律宾赌场洗白。

  人员培训：警惕钓鱼攻击，验证社会化媒体账号真实性，避免点击未经验证的链接。

  美国FBI联合Chainalysis等公司，成功溯源多起攻击事件，并冻结部分涉案资产。然而，朝鲜的孤立状态使直接打击难度极大。

  Lazarus Group的存在，揭示了数字时代国家间博弈的新形态。其背后不仅是技术对抗，更是资源、战略与耐力的较量。唯有通过全球协作、技术创新与法规完善，才能遏制这只“网络幽灵”的肆虐，守护数字世界的安全边界。

  对人生我们要有积极的心态，要相信我们明天的生活会更美好，更快乐，也会有希望和梦想