Lazarus窃密币动作活跃，大量资产仍存活

主要观点总结

本文介绍了Lazarus组织对加密货币领域的攻击活动，包括在社交平台发布密币相关的虚假招聘广告或相关项目引诱目标人员，通过安装带有恶意代码的程序进行密币窃取。文章还提供了样本分析，包括恶意软件的MD5、SHA1、SHA256等描述，以及核心的远控代码功能描述和IOC。

关键观点总结

关键观点1: Lazarus组织背景及攻击目标

Lazarus是具有国家背景的东北亚APT组织，自2009年以来一直活跃，攻击目标广泛，包括对加密货币领域的持续兴趣。该组织通过在社交平台发布密币相关的虚假招聘广告或相关项目引诱目标人员。

关键观点2: 攻击活动细节

Lazarus组织使用Python存储库PyPI投毒事件以来，对轻量级的python、Javascript武器库愈发青睐。虽然相关攻击事件已经多次被披露，但很多攻击资产依然大量存活。该组织通过在社交平台发布信息，进一步引诱目标人员安装带有恶意代码的程序，进行密币窃取活动。

关键观点3: 样本分析与恶意软件描述

Lazarus组织诱导目标人员安装的带毒项目覆盖Windows、Linux、MacOS平台，后续使用的载荷多为轻量级的同类型python窃密木马。文章提供了恶意软件的MD5、SHA1、SHA256等描述，以及核心的远控代码功能描述。