频频搞事的北韩黑客组织 Lazarus Group 先前就已窃取印度交易所 WazirX 近 2.3 亿美元，接连又有几桩窃取加密资产等相关案件，而这次 Lazarus 将魔手伸向区块链游戏。Lazarus 先创建一款假的链上游戏，再利用 Google Chrome 的漏洞植入间谍软件，成功窃取用户的加密钱包凭证。电脑安全公司 Kaspersky 在今年 5 月发现此问题后已向 Google 报告，目前已修补漏洞。

Table of Contents

假链上游戏暗藏风险

Lazarus 推出了一款名为「DeTankZone」或「DeTankWar」的假链上游戏，玩家可以使用 NFT 作为战车与全球玩家比赛。

Lazarus 模仿现有的链上游戏「DeFiTankLand」，成功诱骗众多用户来下载，进而利用 Google Chrome 的漏洞来植入恶意软件，窃取用户的加密货币钱包凭证。

广告 - 内文未完请往下卷动

Lazarus 还通过 LinkedIn 和推特等社群大力宣传，还试图联系在加密领域有影响力的 KOL，让他们推广他们的恶意网站。恐怖的是，即便玩家没有下载游戏，但只要浏览网站，电脑就可能被感染。

利用 Chrome 漏洞植入恶意程序

Lazarus 通过一个名为「Manuscrypt」的恶意软件，再利用 Chrome 浏览器中 JavaScript V8 engine 的「类型混淆漏洞」(Type Confusion) 来攻击用户，这是 Chrome 在 2024 年 5 月之前发现的第七个零日漏洞 (zero-day vulnerability)。

什么是零日漏洞与零日攻击？

零日漏洞 (zero-day vulnerability) 指的是一个还没被软件开发者或网络安全专家发现，而且已被攻击者利用的安全漏洞。由于开发者还没来得及修补这个漏洞，攻击者可以在「零日」的情况下攻击，可称为零日攻击 (zero-day attack)，并对目标系统、应用程序或设备造成危害。

以下为攻击者通常使用零日漏洞来入侵并窃取用户个资的步骤：

1. 诱导安装恶意软件
2. 进行远程攻击
3. 控制系统、设备
4. 窃取用户数据或个资

微软早在今年 2 月发现异常，Google 耗费十多天修补漏洞 

早在今年 2 月，微软 (Microsoft) 的安全团队就注意到这款假游戏，但当 Kaspersky 进行分析时，北韩黑客组织Lazarus 就已经移除网站中的漏洞代码。不过，Kaspersky 仍将此问题通报给 Google，Google 也在 Lazarus 再次利用这个漏洞之前完成修补，但花了 12 天才修补好这个漏洞。

(ZachXBT揭露北韩黑客犯罪网络，佯装开发者渗透团队再卷款：月收50万美元)