朝鲜Lazarus Group开发NFT游戏以利用Chrome用户

朝鲜的Lazarus Group开发了一款区块链游戏，利用谷歌Chrome浏览器中的漏洞，安装间谍软件，窃取加密钱包凭据以及其他用户数据 ；

10月23日报告网络安全公司卡巴斯基实验室分析师Vasily Berdnikovand和Boris Larin表示，他们发现了；Lazarus Group在5月份利用该漏洞并向谷歌报告，谷歌已修复了该问题。

根据Berdnikov和Larin的说法，Lazarus Group的黑客利用该游戏诱使用户访问恶意网站，并用其至少自2013年以来一直在使用的恶意软件Manuscript感染计算机。

该代码允许黑客破坏Chrome的内存，最终使他们能够访问用户的Cookie、身份验证令牌、保存的密码和浏览历史记录——他们窃取用户资金所需的一切。

卡巴斯基实验室早在5月份就发现了Lazarus Group的阴谋，并迅速向谷歌报告。来源：卡巴斯基实验室

Javascript安全机制V8沙盒的另一个问题允许Lazarus访问PC，以调查是否值得继续进行网络攻击。

“我们能够提取攻击的第一阶段——一个在谷歌Chrome进程中执行远程代码执行的漏洞。”；Berdnikov和；拉林说。

“在确认该漏洞是基于针对最新版本谷歌Chrome的零日漏洞后，我们于当天向谷歌报告了我们的发现。”

在谷歌意识到该漏洞两天后，它发布了一个更新的补丁来解决这个问题。

用于创建游戏的被盗源代码

游戏本身，DeTankZone或DeTankWar，是一款完全可玩的游戏，可以用不可替代的代币赚取多人在线战斗竞技场游戏(NFT)坦克。玩家可以在在线竞争中相互竞争。

Berdnikov和；拉林说，Lazarus从另一款合法游戏中窃取了源代码，并在社交媒体上大力推广盗版版本。

这款假游戏有一个网站和使用人工智能生成的宣传图片。

Lazarus Group窃取了一款合法游戏的源代码，以帮助诱使用户使用恶意软件访问网站。来源卡巴斯基实验室

“从表面上看，这个网站类似于一个基于去中心化金融（DeFi）NFT（不可替代代币）的多人在线竞技场（MOBA）坦克游戏的专业设计产品页面，邀请用户下载试用版。”；Berdnikov和；拉林说。

“但这只是一种伪装。在幕后，这个网站有一个隐藏的脚本，在用户的谷歌Chrome浏览器中运行，启动了一个零日漏洞利用，让攻击者完全控制受害者的电脑。”

微软安全部门也在5月份标记了这款游戏邮递在X上，他指出恶意游戏DeTankWar正在提供新的自定义勒索软件，微软称之为FakePenny。

微软安全公司表示：“微软已经确定了一个新的朝鲜威胁参与者，Moonstone Sleet（Storm-1789），它将其他朝鲜威胁参与者使用的许多经过验证的技术与针对金融和网络间谍目标的独特攻击方法相结合。”。

“据观察，Moonstone Sleet建立了虚假公司和工作机会，与潜在目标进行接触，使用合法工具的木马版本，创建了一个名为DeTankWar的恶意游戏，并提供了一个新的自定义勒索软件，微软将其命名为FakePenny。”

Lazarus Group的亏损估计超过30亿美元

Lazarus可以说是自2009年出现以来最臭名昭著的加密黑客组织。美国网络安全公司Recorded Futureestimated2023年，朝鲜黑客在截至2023年的六年里窃取了超过30亿美元的加密货币。

联合国的一份报告还发现，朝鲜黑客在2022年窃取了大量加密资产，估计在6.3亿美元至10亿美元之间，此前这些组织开始瞄准外国航空航天和国防公司的网络。

区块链侦探ZachXBT估计Lazarus在2020年至2023年间通过25次黑客攻击清洗了超过2亿美元的加密货币。8月15日；邮递在X上，他还声称发现了朝鲜开发人员复杂网络的证据，这些开发人员每月为“成熟”的加密项目工作，收入50万美元。

与此同时，美国财政部还指责Lazarus是2022年Ronin Bridge攻击的罪魁祸首，该攻击使黑客获得了超过6亿美元的加密货币。