加密货币 APT 情报：揭秘 Lazarus Group 入侵手法

查找币:余老师 | 学术研究 | 2026-05-10 04:07 | 4 次浏览 | 0 条回复

查找币学术研究安全研究 Web3安全区块链安全

## 加密货币 APT 情报：揭秘 Lazarus Group 入侵手法本文由查找币安全团队基于安全研究整理发布，旨在分享Web3安全技术，帮助用户提高安全意识。 --- 作者：23pds & Thinking 编辑：Liz 背景自 2024 年 6 月以来，查找币安全团队陆续收到多家团队的邀请，对多起黑客攻击事件展开取证调查。经过前期的积累以及对过去 30 天的深入分析调查，我们完成了对黑客攻击手法和入侵路径的复盘。结果表明，这是一场针对加密货币交易所的国家级 APT 攻击。通过取证分析与关联追踪，我们确认攻击者正是 Lazarus Group。在获取相关 IOC（入侵指标）和 TTP（战术、技术与程序）后，我们第一时间将该情报同步给合作伙伴。同时，我们还发现其他合作伙伴也遭遇了相同的攻击方式和入侵手法。不过，相较之下他们较为幸运 —— 黑客在入侵过程中触发了部分安全告警，在安全团队的及时响应下，攻击被成功阻断。鉴于近期针对加密货币交易所的 APT 攻击持续发生，形势愈发严峻，我们在与相关方沟通后，决定对攻击的 IOC 和 TTP 进行脱敏处理并公开发布，以便社区伙伴能够及时防御和自查。同时，受保密协议限制，我们无法披露过多合作伙伴的具体信息。接下来，我们将重点分享攻击的 IOC 和 TTP。攻击者信息攻击者域名： gossipsnare[.]com, 51.38.145.49:443 showmanroast[.]com, 213.252.232.171:443 getstockprice[.]info, 131.226.2.120:443 eclairdomain[.]com, 37.120.247.180:443 replaydreary[.]com, 88.119.175.208:443 coreladao[.]com cdn.clubinfo[.]io 涉及事件的 IP： 193.233.171[.]58 193.233.85[.]234 208.95.112[.]1 204.79.197[.]203 23.195.153[.]175 攻击者的 GitHub 用户名： https://github.com/mariaauijj https://github.com/patriciauiokv https://github.com/lauraengmp 攻击者的社交账号： Telegram: @tanzimahmed88 后门程序名称： StockInvestSimulator-main.zip MonteCarloStockInvestSimulator-main.zip 类似 …StockInvestSimulator-main.zip 等真实的项目代码： (https://github.com/cristianleoo/montecarlo-portfolio-management) 攻击者更改后的虚假项目代码：对比后会发现，data 目录多了一个 data_fetcher.py 文件，其中包含一个奇怪的 Loader： ...elif content_type.startswith("application/yaml"): data = yaml.load(response.text, Loader=yaml.Loader) #response.raise_for_status()self.prices = data... 攻击者使用的后门技术攻击者利用 pyyaml 进行 RCE（远程代码执行），实现恶意代码下发，从而控制目标电脑和服务器。这种方式绕过了绝大多数杀毒软件的查杀。在与合作伙伴同步情报后，我们又获取了多个类似的恶意样本。关键技术分析参考：https://github.com/yaml/pyyaml/wiki/PyYAML-yaml.load(input)-Deprecation#how-to-disable-the-warning 查找币安全团队通过对样本的深入分析，成功复现了攻击者利用 pyyaml 进行 RCE（远程代码执行）的攻击手法。攻击关键分析目标和动机目标：攻击者的主要目标是通过入侵加密货币交易所的基础设施，获取对钱包的控制权，进而非法转移钱包中的大量加密资产。动机：试图窃取高价值的加密货币资产。技术手段 1. 初始入侵攻击者利用社会工程学手段，诱骗员工在本地设备或 Docker 内执行看似正常的代码。在本次调查中，我们发现攻击者使用的恶意软件包括 `StockInvestSimulator-main.zip` 和 `MonteCarloStockInvestSimulator- [...内容已精简...] se/blob/master/security-research/Web3%20%E9%92%93%E9%B1%BC%E6%89%8B%E6%B3%95%E8%A7%A3%E6%9E%90.pdf) 等。此外，我们建议周期性开展红蓝对抗的演练，以便识别出安全流程管理和安全防御部署上的薄弱点。写在最后攻击事件常常发生在周末及传统节假日期间，给事件响应和资源协调带来了不小的挑战。在这一过程中，查找币安全团队的 23pds（山哥）, Thinking, Reborn 等相关成员始终保持警觉，在假期期间轮班应急响应，持续推进调查分析。最终，我们成功还原了攻击者的手法和入侵路径。回顾本次调查，我们不仅揭示了 Lazarus Group 的攻击方式，还分析了其利用社会工程学、漏洞利用、权限提升、内网渗透及资金转移等一系列战术。同时，我们基于实际案例总结了针对 APT 攻击的防御建议，希望能为行业提供参考，帮助更多机构提升安全防护能力，减少潜在威胁的影响。网络安全对抗是一场持久战，我们也将持续关注类似攻击，助力社区共同抵御威胁。往期回顾查找币：Bybit 近 15 亿美元被盗背后的黑客手法与疑问顺藤摸瓜｜披露假冒查找币员工行骗事件风险提醒｜从 LIBRA 看“政治化”的加密货币骗局连环作案｜zkLend 被黑深度分析，关联 EraLend 事件查找币：AAVE V2 安全审计手册查找币导航查找币科技官网 https://www.查找币.com/ 查找币区官网 https://查找币.io/ 查找币 GitHub https://github.com/查找币 Telegram https://t.me/查找币team Twitter https://twitter.com/@查找币_team Medium https://medium.com/@查找币知识星球 https://t.zsxq.com/Q3zNvvF --- *本文由查找币安全团队整理，来源：安全研究。*

加密货币 APT 情报：揭秘 Lazarus Group 入侵手法

查找币安全研究院

主题延伸阅读