Rapporter tyder på, at den nordkoreanske hackere udviklet lokkehjemmesider, der efterligner NFT-markedspladser, NFT-projekter og en DeFi-platform.
Disse hackere, der er knyttet til Nordkoreas Lazarus Group, står angiveligt bag en enorm phishing-kampagne rettet mod investorer med non-fungible token (NFT) – ved at bruge næsten 500 phishing-domæner til at narre ofre.
Blockchain-sikkerhedsfirmaet SlowMist udgav en indberette den 24. december, hvor de afslører de taktikker og strategier, som nordkoreanske Advanced Persistent Threat (APT)-grupper har brugt til at skille NFT-investorer fra deres ikke-fungible tokens, herunder lokkehjemmesider, der er camoufleret som en række NFT-relaterede platforme og projekter.
Eksempler på falske websteder omfatter et websted, der foregiver at være et projekt forbundet med VM, og websteder, der efterligner renejede NFT markedspladser som X2Y2, OpenSea og Rarible.
SlowMist udtalte, at en af de anvendte strategier var at få lokkehjemmesiderne til at tilbyde "ondsindede mynter", som omfatter at bedrage ofrene til at tro, at de laver en legitim NFT ved at linke deres pung til hjemmesiden.
Ikke desto mindre er NFT bedragerisk, og ofrets tegnebog er efterladt sårbar over for nordkoreanske hackere, der ved, hvordan de får adgang til den.
Rapporten indikerede også, at de fleste af phishing-webstederne drives under den samme internetprotokol (IP), med 372 NFT-phishing-websteder under én IP, og yderligere 320 ikke-fungible token-phishing-websteder, der er knyttet til en anden IP.
SlowMist udtalte, at phishing-kampagnen har foregået i flere måneder, og oplyste, at det tidligste registrerede domænenavn dukkede op for syv måneder siden. Andre anvendte phishing-metoder omfattede registrering af besøgendes data og lagring på eksterne websteder og som linking af billeder til målprojekter.
Efter at hackeren næsten var ved at indhente den besøgendes data, ville de derefter fortsætte med at køre en række forskellige angrebsscripts på offeret, som ville gøre det muligt for de nordkoreanske hackere at få adgang til ofrets tilladelser, adgangsregistreringer, brug af plug-in tegnebøger, og følsomme data, herunder ofrets godkendelsesjournal og sigData.
Alle disse oplysninger gør det muligt for den kriminelle at få adgang til ofrets tegnebog, hvilket afslører alle deres digitale aktiver.
Ikke desto mindre insisterede SlowMist på, at dette kun er "toppen af isbjerget", da analysen lige så på et lille segment af materialerne og udtog 'nogle' af phishing-karakteristikaene for de nordkoreanske hackere.
🚨SlowMist Security Alert🚨
Nordkoreansk APT-gruppe retter sig mod NFT-brugere med storstilet phishing-kampagne
Dette er kun toppen af isbjerget. Vores tråd dækker kun en brøkdel af det, vi har opdaget.
Lad os dykke ned pic.twitter.com/DeHq1TTrrN
- SlowMist (@SlowMist_Team) 24. December, 2022
For eksempel fremhævede SlowMist, at kun én phishing-adresse formåede at vinde 1,055 NFT'er og tjene 300 ETH til en værdi af $367,000 via sin phishing-taktik.
Den tilføjede, at den samme nordkoreanske APT-gruppe også var ansvarlig for Naver-phishing-kampagnen, som tidligere var dokumenteret ved Prevailion den 15. marts.
Nordkorea har været kernen i forskellenrent kryptotyveriforbrydelser i 2022.
Baseret på en nyhedsrapport offentliggjort af Sydkoreas Nationale Efterretningstjeneste (NIS) i december 2022, stjal Nordkorea 620 millioner dollars i kryptoer alene i år.
I oktober udsendte Japans nationale politiagentur en streng advarsel til landets kryptoaktivvirksomheder og rådede dem til at være meget forsigtige over for de nordkoreanske hackere.
