azarus

The Block の報道によると、暗号通貨の電子商取引およびギフトカード会社 Bitrefill がネットワーク攻撃を受け、北朝鮮支援のハッカー組織 Lazarus Group によるものと疑われています。攻撃は、従業員のノートパソコンが侵入されたことから始まり、ハッカーは一部のホットウォレットの資金を盗み、サプライヤーに対して疑わしい調達を行いました。攻撃者は Bitrefill のより広範なインフラにも侵入し、一部のデータベースや特定の暗号通貨ウォレットにアクセスしました。その結果、約 18,500 件の購入記録がアクセスされ、メールアドレス、暗号支払いアドレス、IP アドレスなどの限られた顧客情報が含まれています。その中で約 1,000 件の記録の暗号顧客名が露出リスクにさらされており、会社は関連する個人に連絡を取っています。Bitrefill は、ほとんどの購入に KYC を強制しておらず、KYC に関するデータは外部の KYC 提供者によってのみ保管されており、会社のシステムにはバックアップがありません。調査によると、攻撃者はデータベース全体を抽出することはなく、盗むことができるターゲットを探るために限られたクエリを実行したことがわかりました。これには、暗号通貨やギフトカードの在庫が含まれています。会社は「自己負担」で運転資本の損失を負い、zeroShadow、SEAL911 などのセキュリティチームと協力して対応しています。現在、支払い、在庫、およびアカウント機能はほぼ正常に回復しており、売上も回復しています。

AhnLab が発表した『2025年ネットワーク脅威トレンドと2026年セキュリティ展望』レポートによると、北朝鮮背景のハッカー組織 Lazarus が過去12ヶ月で最も多く言及されており、主に「標的型フィッシング」を利用して攻撃を実施し、講演会の招待や面接のリクエストなどのメールに偽装してターゲットを誘導しています。レポートでは、Lazarus が今年2月21日の Bybit のハッキング事件（損失14億ドル）や最近の韓国取引所 Upbit の3000万ドルの脆弱性攻撃など、複数の重大な攻撃の主要な容疑者と見なされていると述べています。AhnLab は、セキュリティを向上させるために、企業は定期的なセキュリティ監査、迅速なパッチ更新、従業員教育の強化を含む多層防御システムを構築する必要があると述べています。同社はまた、個人ユーザーに対して多要素認証の使用、未知のリンクや添付ファイルの慎重な取り扱い、個人情報の過度な露出の回避、公式チャネルからのみコンテンツをダウンロードすることを推奨しています。AhnLab は、AI アプリケーションの普及に伴い、攻撃者が識別が難しいフィッシングメール、偽装ページ、ディープフェイクコンテンツを生成しやすくなるため、今後関連する脅威がさらに複雑化する可能性があると指摘しています。（Cointelegraph）

Upbitで約445億ウォン（約3600万ドル）の暗号資産が盗まれた件についてCryptoQuantのCEO、Ki Young Juは本日、Upbitが公表した攻撃方法は「ほぼ普通のハッカーには実行不可能」と指摘しました。Upbitは以前、攻撃者がユーザーのウォレットアドレスのパターンを分析することで「秘密鍵を推測」した可能性があると述べました。Ki Young Juは、この種の攻撃技術の難易度が非常に高いと明言し、もし事実であれば「北朝鮮のLazarusを除いて、他のハッカー組織がこれを実行できるとは疑っています」と述べました。

韓国の仮想資産取引所 Upbit がハッカー攻撃を受け、445億ウォンの仮想資産が盗まれたと、韓国聯合ニュースが報じています。現在、北朝鮮の情報総局傘下のハッカー組織 Lazarus Group がこの事件の背後にいると強く疑われています。現地時間、韓国聯合ニュースは情報通信技術（ICT）業界および韓国政府の関連部門から、北朝鮮の情報総局に属するハッカー組織 Lazarus Group が大きな犯行の疑いがあるため、当局が Upbit に対して現場検査を行っていることを確認しました。このハッカー組織は、2019年に Upbit から580億ウォン相当のイーサリアムを盗んだ事件に関与したとされています。政府関係者は「今回の攻撃はサーバーを狙ったものではなく、管理者アカウントを盗まれたか、管理者になりすまして資金移動が行われた可能性が高い」と述べています。また、「現在把握している状況から判断すると、6年前のハッカーもこの方法で攻撃を実施したため、今回も同様の手口であると推測される」とも語っています。

ChainCatcher のメッセージ、EurekaTrading の創設者 Kuan Sun がツイートでフィッシング攻撃によって 1,300 万ドルを失いかけたことを振り返る：2025 年 9 月 2 日、彼のウォレットに約 1,300 万ドルの資産が Lazarus ハッカーグループに盗まれそうになり、セキュリティチームが緊急対応し、最終的に資金を回収した。発端は一見正常な Zoom 会議の招待で、実際には巧妙に仕掛けられたフィッシングトラップだった。ハッカーは「半熟人」の関係、ディープフェイク動画、偽の Rabby プラグインを利用して、被害者の Venus ポジションに特化した攻撃を行った。偽のプラグインを信じて withdraw を実行したことで、資産が連帯責任で移動されるリスクにさらされた。PeckShield、SlowMist、Venus および複数のセキュリティチームが迅速に対応し、プロトコルを一時停止しリスクを調査し、最終的に資金の盗難を防いだ。ハードウェアウォレットは万能ではなく、プラグインやフロントエンドがハイジャックされるリスクは依然として存在する；Zoom リンク、アップグレードポップアップ、半熟人の関係はすべて攻撃の入り口となる可能性がある。

ChainCatcher のメッセージによると、The Telegraph の報道では、英国に登録された暗号通貨プラットフォーム Lykke がハッカーによって約 1700 万ポンド（約 2280 万ドル）のビットコインとイーサリアムを盗まれ、運営を停止し、今年 3 月に清算を余儀なくされたとのことです。英国財務省傘下の OFSI の報告によれば、ハッカーは北朝鮮の Lazarus 組織に属しており、資金は軍事および核プロジェクトに使用されているとのことです。Lykke の創設者リチャード・オルセンは破産を宣告され、事件は現在も調査中です。

ChainCatcher のメッセージによると、オンチェーン探偵の ZachXBT が監視したところ、あるユーザーが 5 月 16 日に北朝鮮のハッカー組織 Lazarus Group に攻撃された疑いがあり、約 320 万ドルの資産を失ったとのことです。盗まれた資産は市場で売却され、盗取された資金はその後 Solana から Ethereum にクロスチェーンされました。6 月 25 日に 400 枚の ETH が Tornado Cash に入金され、6 月 27 日にも 400 枚の ETH が Tornado Cash に入金されました。

ChainCatcher のメッセージ、SlowMist セキュリティチームの最新情報によると、北朝鮮の Lazarus ハッカーグループが OtterCookie という新しいスパイウェアを使用して、暗号通貨および金融業界の専門家に対して標的型攻撃を行っている。手法には、高給の職位面接/投資家との商談を偽造すること、ディープフェイク (Deepfake) ビデオを使用して採用者を装うこと、悪意のあるソフトウェアを「プログラミングテスト」や「システム更新パッケージ」と偽装することが含まれる。盗まれる対象には、ブラウザに保存されたログイン資格情報、macOS キーチェーン内のパスワードとデジタル証明書、暗号ウォレットの情報および秘密鍵が含まれる。SlowMist は、提供された職位/投資の誘いに対して警戒を怠らず、リモート面接には多重検証を行い、出所不明の実行可能ファイルを決して実行せず、特に「技術テスト」や「更新パッチ」と称されるものには注意を払い、エンドポイント保護 (EDR) を強化し、ウイルス対策ソフトを導入し、定期的に異常プロセスをチェックすることを推奨している。

ChainCatcher のメッセージによると、Cointelegraph が報じたところでは、BitMEX は北朝鮮の Lazarus Group ハッカーによるネットワーク攻撃を阻止しました。これらのハッカーは LinkedIn 上の偽の NFT コラボレーションオファーを通じて、同社の従業員を標的にしました。BitMEX は、ハッカーの戦略はそれほど複雑ではないと述べています。報告によると、Lazarus Group は LinkedIn 上で BitMEX の従業員に接触し、NFT パートナーシップを提案しましたが、実際の目的はその従業員を誘導して GitHub リポジトリから悪意のあるコードを実行させることでした。従業員はコードベースを確認した後、疑わしいコードにマークを付け、BitMEX のセキュリティチームは迅速に調査を行い、難読化された JavaScript を特定し、Lazarus に関連するインフラストラクチャを追跡しました。

ChainCatcher のメッセージによると、Cointelegraph が報じたところでは、Manta Network の共同創設者 Kenny Li が高度に複雑なフィッシング攻撃を明らかにしました。攻撃者は Zoom のビデオ通話中に実際のチームメンバーの映像を使用し、悪意のあるソフトウェアをダウンロードさせようとしました。Li は、ビデオ通話中に相手のカメラがオンで顔の映像がリアルであったが、音声が聞こえず、システムが Zoom の更新とスクリプトファイルのダウンロードを促すメッセージを表示したため、警戒を強めたと述べています。彼は、この攻撃が北朝鮮国家に支援されたハッカー集団 Lazarus によって行われた可能性があると考えています。攻撃者は Telegram で身分証明を求められた後、すぐにすべてのメッセージを削除し、ブロックしました。

ChainCatcher のメッセージによると、Spot On Chain の監視によれば、今日、Lazarus Group（北朝鮮のハッカー）が 40.78 WBTC（約 351 万ドル）を売却し、251 万ドルの利益を得た（+251%）--これは彼らが 2 年前に購入したものである。彼らは 2023 年 2 月に約 24521 ドルの価格で 99.9 万ドルを使って WBTC を購入し、12 時間前に約 86170 ドルの価格で 1857 ETH で売却した。ハッカーはその後、これらのイーサリアムを 3 つのウォレットに分散させた。

ChainCatcher のメッセージによると、Arkham のデータでは、北朝鮮のハッカー組織 Lazarus Group が27分前に未知のアドレスに12.929 BTCを転送しました。最新のデータでは、Lazarus Group の BTC 保有量は1.344万枚に減少し、約11.6億ドルの価値があります。

ChainCatcher のメッセージによると、Wemade のブロックチェーン子会社である Wemix 財団は、ハッキング攻撃により約 865 万 WEMIX トークン（約 622 万ドル相当）の損失を公表しました。CEO の Kim Seok-hwan は、ハッカーが北朝鮮の組織 Lazarus Group ではなく、専門家である可能性が高いと述べ、NFT プラットフォーム Nile のサービスを通じて認証キーを盗み出し、システムに侵入したとしています。ハッカーはこの攻撃のために 2 ヶ月間準備を行い、異常な取引を作成することで 15 回の引き出しを試み、そのうち 13 回が成功しました。Kim Seok-hwan はまた、金曜日に Wemix の全サービスを再開する計画であり、新しいブロックチェーンインフラストラクチャ上でセキュリティ対策を強化することを明らかにしました。

ChainCatcher のメッセージによると、Decrypt の報道では、Socket 研究チームが新たな攻撃の中で、北朝鮮のハッカー組織 Lazarus が6つの新しい悪意のある npm ソフトウェアパッケージに関連していることを発見しました。これらのパッケージは、ユーザーの認証情報を盗むためのバックドアを展開しようとしています。さらに、これらのマルウェアは暗号通貨データを抽出し、Solana および Exodus 暗号ウォレット内の敏感な情報を盗むことができます。攻撃は主に Google Chrome、Brave、Firefox ブラウザのファイルおよび macOS のキーチェーンデータを対象としており、開発者が意図せずにこれらの悪意のあるパッケージをインストールするように仕向けています。今回発見された6つの悪意のあるソフトウェアパッケージは、is-buffer-validator、yoojae-validator、event-handle-package、array-empty-validator、react-event-dependency、auth-validator です。これらは「typosquatting」（スペルミスの名前を利用すること）を通じて開発者を騙してインストールさせます。APT 組織はそのうちの5つのパッケージのために GitHub リポジトリを作成し、合法的なオープンソースプロジェクトに偽装して、悪意のあるコードが開発者によって使用されるリスクを高めています。これらのパッケージは330回以上ダウンロードされています。現在、Socket チームはこれらのパッケージの削除を要求し、関連する GitHub リポジトリおよびユーザーアカウントを報告しました。Lazarus は悪名高い北朝鮮のハッカー組織であり、最近の14億ドルの Bybit ハッキング、4100万ドルの Stake ハッキング、2700万ドルの CoinEx ハッキング、そして暗号業界における無数の他の攻撃に関連しています。

ChainCatcher のメッセージによると、Bitcoin.com News の報道で、北朝鮮の Lazarus グループは、5.92 億ドルの ETH、3.19 億ドルの BTC、さらには 33.7 万ドルの BABYDOGE を含む、近 10 億ドルの暗号通貨を蓄積している。

ChainCatcher メッセージ、「チェーン上の探偵」ZachXBT が個人チャンネルで投稿し、ある未知の被害者が 2 月 28 日に Tron 上で北朝鮮のハッカー Lazarus Group に攻撃され、約 310 万ドルの損失を被ったことを明らかにしました。資金は Tron からイーサリアムに移動され、ETH は Tornado Cash に入金される前に 10 のアドレスに分配されました。

ChainCatcher のメッセージ、Bybit の CEO Ben Zhou はソーシャルプラットフォームで、自社プラットフォームの立ち上げ以来、2167 件の報告を処理したと明らかにしました。Ben Zhou は、Lazarus バウンティプラットフォームが 1.1 バージョンの重大な更新を発表したと述べました。新しいバージョンでは、ハッカーアドレスの分析機能が追加され、バウンティハンターはクロスチェーンで盗まれたすべての資産を確認し、資金の流れを包括的に理解できるようになります。プラットフォームには、ハンターがバウンティを提出するための Discord チャンネルも新たに追加され、自動ブラックリストアドレスチェックシステムが装備されており、重複提出を避けることができます。さらに、更新ではハッカーのウォレット残高のランキング表示が行われ、確認済みの報告にはバウンティハンターの名前が表示されます。

ChainCatcher のメッセージによると、Arkham のデータによれば、現在までに Lazarus Group としてマークされたウォレットは、THORChain を通じて 2.4 億ドル以上の ETH を移転しています。これらの資金は主にネイティブ BTC に交換されています。さらに、THORChain のチーフデベロッパー @Pluto9r が退職を発表しました（在任 4 年）。THORChain ネットワークのコアバリデーター TCB（@1984_is_today）は、THORChain の活動の大部分が人類史上最大の金融盗難事件に起因しており、北朝鮮のハッカーによるマネーロンダリング活動から来ていることを明らかにしました。これは国家安全保障の問題になるでしょう。以前の報道によれば、現在 THORChain は債務超過の危機に直面しており、貯蓄と貸付機能は停止されており、2 億ドルの債務危機に対処するために株式トークンを発行する計画があります。

ChainCatcher のメッセージ、Bybit の共同創設者兼 CEO Ben Zhou が X プラットフォームで eXch の幹部 Sarah Nugent に「呼びかけ」ました。彼は次のように述べています：「Lazarus の資金を凍結することで、5% の手数料を得ることができます......これはマネーロンダリングを助けることで得られるよりもはるかに多いです....善良な人々の側に立ってください。」