5月15日Google发布Chrome 125更新（125.0.6422.60、61），修补零时差漏洞CVE-2024-4947，通报此弱点的资安业者卡巴斯基表示，当时他们看到北韩黑客组织Lazarus假借提供电玩游戏的名义，并利用这项漏洞企图控制受害者的电脑。

这起攻击行动之所以曝光，起初是在5月13日，该厂牌杀毒软件在俄罗斯个人用户的电脑，侦测到后门程序Manuscrypt感染的情况，由于使用该恶意程序的Lazarus鲜少针对个人用户下手，这样的情况引起研究人员的注意，进一步调查发现，detankzone[.]com网站利用浏览器弱点发动攻击。

基本上，这个网站看起来像是介绍多人在线竞技（MOBA）的坦克电玩游戏DeTankZone，该游戏号称以去中心化金融（De-Fi）及非同质化代币（NFT）为基础开发而成，该网站亦提供试用版下载。但研究人员指出，这其实是障眼法，黑客在网站后台埋藏脚本，一旦用户通过Chrome存取就会触发漏洞，攻击者可借此完全控制连入此网站的电脑。

研究人员进一步指出，攻击者架设的网站以TypeScript及React打造而成，他们将漏洞利用代码埋在名为index.tsx的文件，但值得留意的是，这些代码不光利用CVE-2024-4947，还运用另一个近期才揭露的V8沙箱弱点。

形成CVE-2024-4947漏洞的原因，在于Google去年底推出的Chrome 117，纳入即时（JIT）编译器Maglev，该组件能根据解译器（Interpreter）回馈的内容进行优化，快速产生品质较好的代码，但Maglev由于具有这项弱点而酿祸。

简而言之，攻击者的脚本滥用Maglev、破坏Chrome使用的内存位址，并覆盖该处理进程占用的区域，从而存取Cookie、Token、存储的密码，以及上网记录。

他们也发现这些黑客借由人工智能技术，产生几可乱真的数据在社群网站X进行宣传，并联系加密货币领域的有力人士，请他们协助宣传。此外，这些黑客也通过专业设计网站、LinkedIn付费帐号，以及钓鱼邮件从事相关活动。

值得留意的是，这款游戏确实能实际正常安装，并具有实际登录画面，但无法注册帐号或是登录。研究人员发现，黑客很可能是窜改名为DeFiTankLand（DFTL）的游戏制作而成。因为攻击者于2月20日开始宣传，3月2日DFTL传出有开发者从其中1个冷钱包偷走2万美元DFTL2加密货币，所以，研究人员根据这些迹象推测：Lazarus先是偷走了源码，再洗劫冷钱包。

研究人员指出，虽然他们向Google通报后遵循漏洞揭露政策，当时并未公开具体细节，让用户能有更多时间套用修补程序，然而，这起事故其实在5月底就已露出端倪，因为当时微软公布北韩黑客组织Moonstone Sleet的勒索软件攻击行动，当中恰巧提及此事部分攻击过程。

根据微软那时的描述，也可印证漏洞攻击事件的经过。他们表示，黑客从2月开始，利用假的游戏开发公司为幌子，以寻求投资者及开发人员支持为由发动网钓攻击，导致电脑被植入恶意程序；攻击者在4月对其中一家遭骇的公司植入勒索软件FakePenny，并索讨660万美元比特币。