Lazarus通过Safe{Wallet}开发机器入侵了Bybit（微信文章未删减版）

主要观点总结

安全研究人员发现朝鲜Lazarus黑客通过入侵多sig钱包平台SafeWallet的开发人员设备，从Bybit窃取了15亿美元。Sygnia和Verichains的两项调查揭示了攻击源自SafeWallet的基础设施，并通过向app.safe注入恶意JavaScript专门针对Bybit。攻击具有选择性，确保后门不被普通用户发现，同时危及高价值目标。根据调查结果，Sygnia认为AWS S3账户或安全的API密钥可能已被泄露或受损。SafeWallet团队已恢复服务并增加了安全措施。尽管未发现智能合约或服务的源代码存在漏洞，但用户仍需保持警惕。

关键观点总结

关键观点1: 黑客入侵SafeWallet开发人员设备窃取资金

朝鲜Lazarus黑客入侵了SafeWallet开发人员的设备，借此发起了针对Bybit的攻击，并成功窃取了大量资金。

关键观点2: 攻击通过注入恶意JavaScript进行

攻击者通过向app.safe注入恶意JavaScript来实施攻击，这种选择性执行确保了后门不被普通用户发现，同时危及高价值目标。

关键观点3: AWS账户可能泄露或受损

Sygnia调查发现，恶意JavaScript代码上传自SafeWallet的AWS S3桶，用于将Bybit的加密资产重定向到攻击者控制的钱包。事件后调查发现AWS S3账户或安全的API密钥可能已被泄露或受损。

关键观点4: SafeWallet团队已采取措施恢复服务

SafeWallet团队已经恢复了服务，并采取了额外的安全措施，包括增强的监控警报和对交易散列、数据和签名的额外验证。他们还完全重建和重新配置了所有基础设施，并旋转了所有凭据，以确保攻击向量已被删除。

关键观点5: 用户应保持警惕

尽管外部安全研究人员进行的取证审查没有发现智能合约或其前端和服务的源代码存在漏洞，但用户仍需要保持警惕，以确保交易安全。

正文

安全研究人员发现，朝鲜Lazarus黑客在入侵多sig钱包平台Safe{wallet}的开发人员设备后，从Bybit窃取了15亿美元。

Bybit首席执行官分享了Sygnia和Verichains的两项调查的结论，这两项调查都发现攻击源自Safe{Wallet}的基础设施。此次攻击通过向app.safe注入恶意JavaScript专门针对Bybit。

global，由Bybit的签名者访问，有效载荷被设计为只有在满足某些条件时才会激活。这种选择性执行确保了后门不被普通用户发现，同时危及高价值目标。

根据对Bybit签署人机器的调查结果以及在Wayback Archive上发现的缓存恶意JavaScript有效负载，Sygnia认为AWS S3或CloudFront帐户/安全的API密钥。环球公司很可能被泄露或受损。

“在恶意交易执行并发布两分钟后，新版本的JavaScript资源被上传到Safe{Wallet}的AWS S3桶中。这些更新版本已经删除了恶意代码。”Sygnia补充道。

Sygnia还发现，恶意JavaScript代码（针对Bybit的以太坊Multisig冷钱包）来自Safe{Wallet}的AWS S3桶，用于将Bybit的加密资产重定向到攻击者控制的钱包，并在2月21日攻击前两天被修改。事件发生后，叙利亚对Bybit的基础设施进行了调查，没有发现任何被入侵的证据。

安全生态系统基金会在一份声明中证实了他们的结论，该声明透露，攻击是通过首先入侵Safe{wallet}开发人员的机器进行的，该机器为威胁者提供了访问Bybit运营的帐户的权限。

自事件发生以来，Safe{Wallet}团队已经在以太坊主网上恢复了Safe{Wallet}，并分阶段推出，暂时删除了本机分类帐集成，即Bybit加密抢劫中使用的签名设备/方法。

恢复Safe{Wallet}服务的分阶段推出还增加了进一步的安全措施，包括增强的监控警报和对交易散列、数据和签名的额外验证。

Safe{Wallet}的团队表示，他们已经完全重建和重新配置了所有基础设施，并旋转了所有凭据，以确保攻击向量已被删除，不能在未来的攻击中使用。

尽管外部安全研究人员进行的取证审查没有发现外管局智能合约或其前端和服务的源代码存在漏洞，但建议用户在签署交易时保持警惕。

参考及来源：https://www.bleepingcomputer.com/news/security/lazarus-hacked-bybit-via-breached-safe-wallet-developer-machine/