Lazarus通过Safe{Wallet}开发机器入侵了Bybit

主要观点总结

安全研究人员发现朝鲜Lazarus黑客通过入侵多sig钱包平台SafeWallet的开发人员设备，从Bybit窃取了15亿美元。Sygnia和Verichains的两项调查揭示了攻击源自SafeWallet的基础设施，并通过向app.safe注入恶意JavaScript专门针对Bybit。攻击具有选择性，确保后门不被普通用户发现，同时危及高价值目标。根据调查结果，Sygnia认为AWS S3账户或安全的API密钥可能已被泄露或受损。SafeWallet团队已恢复服务并增加了安全措施。尽管未发现智能合约或服务的源代码存在漏洞，但用户仍需保持警惕。

关键观点总结

关键观点1: 黑客入侵SafeWallet开发人员设备窃取资金

朝鲜Lazarus黑客入侵了SafeWallet开发人员的设备，借此发起了针对Bybit的攻击，并成功窃取了大量资金。

关键观点2: 攻击通过注入恶意JavaScript进行

攻击者通过向app.safe注入恶意JavaScript来实施攻击，这种选择性执行确保了后门不被普通用户发现，同时危及高价值目标。

关键观点3: AWS账户可能泄露或受损

Sygnia调查发现，恶意JavaScript代码上传自SafeWallet的AWS S3桶，用于将Bybit的加密资产重定向到攻击者控制的钱包。事件后调查发现AWS S3账户或安全的API密钥可能已被泄露或受损。

关键观点4: SafeWallet团队已采取措施恢复服务

SafeWallet团队已经恢复了服务，并采取了额外的安全措施，包括增强的监控警报和对交易散列、数据和签名的额外验证。他们还完全重建和重新配置了所有基础设施，并旋转了所有凭据，以确保攻击向量已被删除。

关键观点5: 用户应保持警惕

尽管外部安全研究人员进行的取证审查没有发现智能合约或其前端和服务的源代码存在漏洞，但用户仍需要保持警惕，以确保交易安全。