假鏈遊真盜幣！北韓駭客 Lazarus 利用 Chrome「零日漏洞」誘騙加密資產

頻頻搞事的北韓駭客組織 Lazarus Group 先前就已竊取印度交易所 WazirX 近 2.3 億美元，接連又有幾樁竊取加密資產等相關案件，而這次 Lazarus 將魔手伸向區塊鏈遊戲。Lazarus 先創建一款假的鏈上遊戲，再利用 Google Chrome 的漏洞植入間諜軟體，成功竊取用戶的加密錢包憑證。電腦安全公司 Kaspersky 在今年 5 月發現此問題後已向 Google 報告，目前已修補漏洞。

假鏈上遊戲暗藏風險

Lazarus 推出了一款名為「DeTankZone」或「DeTankWar」的假鏈上遊戲，玩家可以使用 NFT 作為戰車與全球玩家比賽。

Source : 網路安全公司卡巴斯基 (Kaspersky)

Lazarus 模仿現有的鏈上遊戲「DeFiTankLand」，成功誘騙眾多用戶來下載，進而利用 Google Chrome 的漏洞來植入惡意軟體，竊取用戶的加密貨幣錢包憑證。

真鏈上遊戲：DeFiTankLand

Lazarus 還透過 LinkedIn 和推特等社群大力宣傳，還試圖聯繫在加密領域有影響力的 KOL，讓他們推廣他們的惡意網站。恐怖的是，即便玩家沒有下載遊戲，但只要瀏覽網站，電腦就可能被感染。

Source : 網路安全公司卡巴斯基 (Kaspersky)

利用 Chrome 漏洞植入惡意程式

Lazarus 透過一個名為「Manuscrypt」的惡意軟體，再利用 Chrome 瀏覽器中 JavaScript V8 engine 的「型別混淆漏洞」(Type Confusion) 來攻擊用戶，這是 Chrome 在 2024 年 5 月之前發現的第七個零日漏洞 (zero-day vulnerability)。

卡巴斯基於 Javascript 中找到的漏洞

什麼是零日漏洞與零日攻擊？

零日漏洞 (zero-day vulnerability) 指的是一個還沒被軟體開發者或網路安全專家發現，而且已被攻擊者利用的安全漏洞。由於開發者還沒來得及修補這個漏洞，攻擊者可以在「零日」的情況下攻擊，可稱為零日攻擊 (zero-day attack)，並對目標系統、應用程式或設備造成危害。

以下為攻擊者通常使用零日漏洞來入侵並竊取用戶個資的步驟：

1. 誘導安裝惡意軟體
2. 進行遠端攻擊
3. 控制系統、設備
4. 竊取用戶數據或個資

微軟早在今年 2 月發現異常，Google 耗費十多天修補漏洞 

早在今年 2 月，微軟 (Microsoft) 的安全團隊就注意到這款假遊戲，但當 Kaspersky 進行分析時，北韓駭客組織Lazarus 就已經移除網站中的漏洞程式碼。不過，Kaspersky 仍將此問題通報給 Google，Google 也在 Lazarus 再次利用這個漏洞之前完成修補，但花了 12 天才修補好這個漏洞。

Source: Microsoft ‘X

(ZachXBT揭露北韓駭客犯罪網路，佯裝開發者滲透團隊再捲款：月收50萬美元)

這篇文章 假鏈遊真盜幣！北韓駭客 Lazarus 利用 Chrome「零日漏洞」誘騙加密資產 最早出現於 鏈新聞 ABMedia。