在數字化快速發展的當今世界,網絡安全成為各行各業不容忽視的重要課題。最近,北韓駭客集團拉撒路(Lazarus Group)採取了一種新的策略,通過嵌入惡意代碼的開源軟件來竊取開發人員和公司數據,造成了廣泛關注。 拉撒路集團以其在網絡犯罪領域的高超技術而聞名,特別是在加密貨幣盜竊方面。2023年,他們成功竊取了6億美元的虛擬貨幣,這一事件震驚了全球。然而,這一黑客集團的模式似乎正在轉變,從短期的資金掠奪轉向更為隱蔽和長期的數據竊取行動。 根據SecurityScorecard的研究,拉撒路集團最近啟動了一個名為「幻影電路」(Phantom Circuit)的軟件供應鏈滲透操作,作為這一行動的一部分,他們已經鎖定了233個顯著的目標,其中有100個在印度。
主要目標包括加密貨幣開發者、科技公司以及有開源項目的個人。 這一新策略顯示,拉撒路集團不僅僅依靠暴力攻擊來獲取資金,而是在尋求更持久和可持續的利潤來源。通過針對CoinProperty和Codementor等社區,他們利用從合法項目克隆的開源軟件,並在其中嵌入惡意代碼,悄然進入開發者的環境。 經過這些入侵後,竊取的數據中包括用戶憑據、身份驗證令牌和密碼等敏感信息,這些數據可能被用來進行情報收集,以支持北韓的地緣政治目標。這些信息的非法獲取對開發者和公司而言無疑是巨大的風險。 拉撒路集團通過使用GitLab等雲平台來進行他們的行動,這使得他們的惡意程序通過開源軟件被無意中安裝。
開發者通常信任這些開源包,因此常常無法察覺背後的危險。 SecurityScorecard的STRIKE安全調查小組發現,拉撒路集團利用了一套命令與控制系統來搜索、篩選和管理他們竊取的數據。這些數據最終會被上傳到Dropbox,利用雲存儲隱蔽地保護盜取的資料。 需要注意的是,拉撒路集團通常會將其流量重繞至Astrill VPN和俄羅斯代理,這使得他們的行蹤看似來自俄羅斯,而不是真正的操控者北韓。這一策略的轉變使其在網絡攻擊中變得更加隱秘和持久,可以更有效地進行長期的信息收集。 值得關注的是,相較於以往的攻擊模式,拉撒路集團現在的策略顯得更加危險。
在過去,他們的攻擊對象包括波蘭、墨西哥和孟加拉國的銀行,甚至在2014年對索尼公司數據的重大入侵,以及影響英國國民健康服務(NHS)和中國大學的全球性蠕蟲攻擊Wannacry。 此時的情況特別危險,因為這種攻擊方式很容易掩蓋自己的真實意圖。開發者需要加強供應鏈安全,這包括實施嚴格的代碼驗證過程和網絡流量監控,以加強偵測能力。 總而言之,隨著技術的進步,黑客的攻擊手法變得越來越複雜與隱蔽。拉撒路集團的最新行動提醒我們,無論是大型科技公司還是個別開發者,都必須加強自身的防護措施,以減少潛在的安全風險,確保他們的數據和資產不受威脅。在這樣的背景下,提高公眾對網絡安全理念的認識,讓更多人了解如何防範這些日益嚴峻的网络攻撃,將是未來必要的努力方向。
。
