黑客创建了冒充 NFT 市场、NFT 项目甚至 DeFi 平台的诱饵网站。

据报道,与朝鲜 Lazarus Group 有联系的黑客是针对不可替代代币 (NFT) 投资者的大规模网络钓鱼活动的幕后黑手——利用近 500 个网络钓鱼域来欺骗受害者。

区块链安全公司 SlowMist 于 12 月 24 日发布了一份报告,揭示了朝鲜高级持续威胁 (APT) 组织用来将 NFT 投资者与其 NFT 分开的策略,包括伪装成各种 NFT 相关平台和项目的诱饵网站。

图片[1] - 朝鲜黑客使用近500个网络钓鱼域窃取NFT

这些虚假网站的例子包括一个假装是与世界杯相关的项目的网站,以及冒充 OpenSea、X2Y2 和 Rarible 等知名 NFT 市场的网站。

SlowMist 表示,使用的策略之一是让这些诱饵网站提供“恶意薄荷糖”,其中包括通过将钱包连接到网站来欺骗受害者,让他们认为他们正在铸造合法的 NFT。

然而,NFT 实际上是欺诈性的,受害者的钱包容易受到现在可以访问它的黑客的攻击。

该报告还显示,许多网络钓鱼网站在同一互联网协议 (IP) 下运行,其中 372 个 NFT 网络钓鱼网站在一个 IP 下,另有 320 个 NFT 网络钓鱼网站与另一个 IP 相关联。

图片[2] - 朝鲜黑客使用近500个网络钓鱼域窃取NFT

SlowMist表示,网络钓鱼活动已经持续了几个月,并指出最早的注册域名是在大约七个月前。

使用的其他网络钓鱼策略包括记录访问者数据并将其保存到外部站点以及将图像链接到目标项目。

黑客即将获取访问者的数据后,会继续对受害者运行各种攻击脚本,这将允许黑客访问受害者的访问记录、授权和使用插件钱包,以及受害者的批准记录和sigData等敏感数据。

然后,所有这些信息使黑客能够访问受害者的钱包,从而暴露其所有数字资产。

然而,SlowMist强调,这只是“冰山一角”,因为分析只研究了一小部分材料,并提取了朝鲜黑客的“一些”网络钓鱼特征。

慢雾安全警报朝鲜

APT 组织针对 NFT 用户进行大规模网络钓鱼活动

这只是冰山一角。我们的线程仅涵盖了我们发现的一小部分。

让我们深入了解

— 慢雾 (@SlowMist_Team) 2022 年 12 月 24 日

例如,SlowMist 强调,仅一个网络钓鱼地址就能够获得 1,055 个 NFT 并获利 300 个以太币$1,223,价值 367,000 美元,通过其网络钓鱼策略。

它补充说,同一个朝鲜APT组织也对Prevailion先前在3月15日记录的Naver网络钓鱼活动负责。

朝鲜在 2022 年一直是各种加密货币盗窃犯罪的中心。

根据韩国国家情报院(NIS)12月22日发布的新闻报道,朝鲜仅今年就窃取了价值6.2亿美元的加密货币。

10月,日本国家警察厅向该国的加密资产企业发出警告,建议他们警惕朝鲜黑客组织。