跳到主要内容

Lazarus Group 手册:揭秘朝鲜累计 67.5 亿美元加密货币窃取行动的内幕

· 阅读需 12 分钟
Dora Noda
Dora Noda
Software Engineer

当 Safe{Wallet} 开发人员 "Developer1" 在 2025 年 2 月 4 日收到一份看似常规的请求时,他们根本没有想到自己的 Apple MacBook 会成为历史上最大规模加密货币劫案的切入点。在 17 天内,朝鲜的 Lazarus Group 利用这台被入侵的笔记本电脑从 Bybit 窃取了 15 亿美元 —— 这超过了一些国家的整个国内生产总值(GDP)。

这并非偶然。这是长达十年的进化的顶点,它将一群受国家资助的黑客转变为世界上最先进的加密货币窃贼,负责了至少 67.5 亿美元的累计盗窃案。

让每家交易所都彻夜难眠的数据

朝鲜加密货币盗窃的规模已达到前所未有的水平。根据 Chainalysis 的加密货币犯罪报告,仅在 2025 年,与朝鲜民主主义人民共和国(DPRK)相关的参与者就窃取了 20.2 亿美元的加密货币 —— 同比增长 51%,这一数字占全球所有加密货币盗窃案的近 60%。

但最令人警觉的统计数据并非总额,而是效率。虽然与 2024 年相比,朝鲜黑客事件的总数下降了 74%,但每次攻击窃取的价值却大幅飙升。Lazarus Group 现在占加密货币行业所有服务级入侵事件的 76%,而往年这一比例要低得多。

这一转变代表了 TRM Labs 所称的 “加密货币盗窃的工业化” —— 攻击次数更少,回报更高,并且拥有一种能够在 48 小时内处理数亿美元的洗钱基础设施。

Bybit 黑客攻击解析:社会工程学的顶级课程

2025 年 2 月的 Bybit 劫案揭示了朝鲜黑客在传统暴力破解方法之外的进化程度。FBI 将这次攻击归因于 “TraderTraitor”,这是一个已成为国家资助加密货币盗窃代名词的恶意网络行动。

攻击链并非始于代码漏洞利用,而是始于对人的操纵。

第一阶段:入侵

根据 Safe{Wallet} 的事后分析,攻击者首先识别出了一名拥有高级系统权限的开发人员。通过一场看似针对性的网络钓鱼活动 —— 可能涉及虚假的工作机会或投资机会 —— 他们说服该开发人员下载了恶意软件。一旦安装,该恶意软件就让朝鲜完全控制了管理员的 MacOS 机器。

第二阶段:静默渗透

攻击者并没有立即窃取资金,而是花了几周时间研究 Bybit 的交易模式。他们劫持了 AWS 会话令牌(session tokens),完全绕过了多重身份验证(MFA)。他们修改了 Safe{Wallet} 的网站代码,植入了一个休眠负载(payload),该负载设计为仅在特定的 Bybit 交易触发时才会激活。

第三阶段:提取

当一名 Bybit 员工在 2 月下旬打开 Safe{Wallet} 授权一项常规交易时,休眠代码被激活。它操纵了交易审批流程,将大约 400,000 ETH(当时价值 15 亿美元)重定向到攻击者控制的钱包中。

整个盗窃过程实时发生,就在 Bybit 安全团队的眼皮底下。

48 小时洗钱机器

朝鲜加密货币行动与其他网络犯罪企业的区别在于其洗钱基础设施的速度和复杂性。TRM Labs 报告称,在 Bybit 黑客攻击发生后的 48 小时内,至少有 1.6 亿美元已经通过非法渠道处理 —— 一些估计表明,到第二天结束时,这一数字已超过 2 亿美元。

这种快速洗钱遵循 Chainalysis 所描述的跨越约 45 天的“多波次”流程:

第 0-5 天:即时分层

被盗资金立即被分散到数百个中间钱包中。攻击者利用 THORChain 和 LI.FI 等跨链桥在区块链之间进行“链跳(chain hop)”,将以太坊(Ethereum)转换为比特币(Bitcoin),然后转换为像 DAI 这样的稳定币。这种司法管辖和技术上的碎片化使得全面追踪变得极其困难。

第 6-10 天:初步整合

混合资产被转换为基于波场(Tron)的 USDT,这为大额洗钱提供了更快的交易速度和更低的手续费。资金被分散存放在数千个新地址中,每个地址持有的金额都很小,足以避免触发交易所的监控阈值。

第 20-45 天:最终整合

清洗后的 USDT 到达了主要位于中国和东南亚的场外交易(OTC)经纪人网络。这些经纪人接受加密货币,并通过中国银联(UnionPay)卡将等值的法定货币存入朝鲜控制的银行账户。

到 2025 年 3 月 20 日 —— 即 Bybit 黑客攻击发生不到一个月后 —— 首席执行官周本(Ben Zhou)确认,攻击者已将被盗 ETH 的 86.29% 转换为比特币,展示了这种工业化洗钱过程的效率。

从索尼到数十亿美元劫案的演变

理解 Lazarus Group 需要追踪他们从政治黑客向全球顶级加密货币窃贼的演变过程。

2014 年:索尼影业攻击

该集团最初因 摧毁索尼影业的基础设施 而声名狼藉,以此报复电影《刺杀金正恩》(The Interview),该片描绘了刺杀金正恩的情节。他们部署了擦除恶意软件,删除了公司网络中的数据,同时公开泄露了令人尴尬的内部通讯。

2016 年:SWIFT 劫案

Lazarus 通过 SWIFT 国际银行系统 试图从孟加拉国银行窃取近 10 亿美元,展示了其金融野心。一个拼写错误阻止了全额盗窃,但他们仍带着 8100 万美元逃脱——这个数字在后来显得微不足道。

2017-2019 年:向 DeFi 转型

随着加密货币价值激增,Lazarus 转向攻击交易所。早期对 Bithumb(700 万美元)、Youbit 和其他平台的攻击确立了他们在加密领域的名声。这些攻击通常使用包含恶意软件的鱼叉式网络钓鱼邮件,伪装成工作邀请或安全更新。

2022 年:6.2 亿美元 Ronin Network 攻击

Ronin Network 攻击标志着一个转折点。攻击者通过向一名高级工程师发送虚假的 LinkedIn 工作邀请,入侵了 Sky Mavis(Axie Infinity 的开发商)。进入内部后,他们进行横向移动,直到获得足够的验证者密钥,从网络中提取了价值 6.2 亿美元的 ETH 和 USDC。

2023 年:攻击目标集中化

Lazarus 将重点从去中心化协议转向中心化服务提供商。在三个月的时间里,他们袭击了 Atomic Wallet(1 亿美元)、CoinsPaid(37.3 百万美元)、Alphapo(6000 万美元)、Stake.com(4100 万美元)和 CoinEx(5400 万美元)。FBI 证实 每次攻击都归因于朝鲜。

2024-2025 年:工业化盗窃

WazirX 攻击(2.349 亿美元)和 Bybit 劫案(15 亿美元)代表了当前的演变趋势:攻击次数减少、影响最大化,以及能够处理数十亿资金的洗钱基础设施。

人为因素:作为特洛伊木马的 IT 员工

除了直接黑客攻击外,朝鲜还部署了研究人员所谓的 “Wagemole” 策略——在全球合规公司中嵌入秘密 IT 员工。

这些特工使用虚假身份或通过幌子挂靠公司获得远程技术职位。一旦受雇,他们在为黑客团队提供情报的同时,表现得像正规员工。在某些情况下,他们通过提供凭证、禁用安全系统或批准欺诈交易直接促成盗窃。

根据 Chainalysis 的数据,仅在 2024 年,就有十几家加密货币公司被伪装成 IT 员工的朝鲜特工渗透。据报道,DeFiance Capital 的泄露事件就是在 Lazarus 特工冒充智能合约开发商渗透该公司后发生的。

这种策略代表了行业面临的一个根本挑战:当攻击者已经拥有合法的访问凭证时,传统的边界安全就变得无关紧要了。

“ClickFake” 运动:武器化的工作邀请

于 2023 年推出且目前仍然活跃的 DEV#POPPER 运动,展示了 Lazarus 日益复杂的社会工程学手段。

攻击始于 GitHub 或 LinkedIn 等专业平台。攻击者冒充招聘人员或同事,与目标讨论职业机会。对话逐渐转移到 WhatsApp 等私密聊天平台,关系建立过程会持续数周。

最终,目标受邀克隆看似合法的 GitHub 存储库——通常被描述为技术评估或与加密货币交易相关的工具。这些存储库包含恶意的 Node Package Manager (npm) 依赖项,一旦集成就会安装后门恶意软件。

这种被称为 “BeaverTail” 的恶意软件提供长期持久性和数据外泄能力。攻击者可以监控按键、捕获屏幕截图、访问浏览器凭据,并最终获得清空加密货币钱包所需的私钥。

最近的迭代包括伪装成合法 Python 项目的文件(如 “MonteCarloStockInvestSimulator-main.zip”),通过利用合法的 pyyaml 库进行远程代码执行,从而绕过大多数反病毒软件的检测。

盗取的数十亿美元为何至关重要

Lazarus Group 盗取的加密货币并不会消失在个人账户中。根据 Wilson Center 的分析,这些资金是朝鲜武器计划的关键收入来源。

MSMT(国家安全部)的报告结论称,这一收入流对于 “为朝鲜非法的大规模杀伤性武器和弹道导弹计划采购材料和设备” 至关重要。

这种联系将加密货币安全从金融问题提升到了国际安全的高度。每一次成功的黑客攻击都在资助那些威胁地区和全球稳定的武器开发。

防御国家级攻击者

Bybit 遭黑客攻击事件表明,即使是拥有尖端安全防护、资源充足的交易所,也依然存在脆弱性。通过分析 Lazarus 的攻击手段,我们可以得出几点教训:

人为层面优先

大多数重大的黑客攻击始于社会工程学,而非技术漏洞利用。机构必须针对外部沟通实施严格的核查协议,特别是涉及职位邀请、投资机会或技术合作请求的沟通。

预设已被渗透

“Wagemole”策略意味着内部人员可能已经遭到渗透。对于重大交易的多方授权、职责分离以及持续的行为监测变得至关重要。

硬件安全模块

事实证明,基于软件的密钥管理——即使使用了多重签名钱包——在面对 Lazarus 时也显得力不从心。要求物理交互以进行交易授权的硬件安全模块 (HSM) 能够制造额外的屏障。

交易速率限制

在单笔交易中取走 15 亿美元的能力代表了设计上的根本缺陷。实施交易速率限制和针对大额提现的时间延迟,可以在主要控制措施失效时提供检测窗口。

区块链取证集成

与区块链分析平台进行实时集成,可以标记可疑的交易模式,并在资金流经洗钱网络时对其进行追踪。早期检测能提高资产追回的可能性。

未来之路

朝鲜的加密货币盗窃行动已经从机会主义黑客攻击演变为工业化、国家赞助的金融犯罪。该组织累计盗窃 67.5 亿美元的事实证明,传统的安全方法在面对意志坚定的国家级对手时是不够的。

整个行业面临着一个严峻的选择:要么实施与威胁程度相匹配的安全措施,要么继续充当敌对国家行为者的“自动取款机”。鉴于涉及的资金规模及其最终被用于武器开发的用途,这不仅仅是一个商业决策——它事关全球安全。

对于交易所、托管机构和 DeFi 协议来说,Lazarus 集团的剧本应该敲响警钟。攻击者展示了耐心(在受感染的系统中潜伏数周)、复杂性(通过会话令牌劫持绕过多因素身份验证 MFA)以及效率(在 48 小时内清洗数亿美元)。

问题不在于朝鲜黑客是否会尝试另一次十亿美元级的抢劫。问题在于,当他们再次行动时,行业是否做好了更充分的准备。

BlockEden.xyz 提供企业级区块链基础设施,内置安全监控和异常检测功能。我们的 RPC 终端节点支持实时威胁情报集成,以帮助保护你的 Web3 应用程序。探索我们的 API 市场,在安全的基础之上进行构建。

Share on Twitter