同时关联该项目与事件的快讯
据 Cryptopolitan 报道,朝鲜背景黑客组织 Lazarus Group 被发现部署无文件远程访问木马 RemotePE,主要针对银行、加密货币交易所及金融科技公司。该恶意软件以纯内存方式运行,结合进程空洞化、反分析检测及加密的 C2 通信,传统杀毒与取证工具较难发现。报道指出,攻击通常通过 Telegram 社会工程展开,攻击者冒充交易公司员工,借助伪造的 Calendly 和 Picktime 诱导受害者安装恶意程序,最终在不接触文件系统的情况下完成载荷执行。
链上侦探 ZachXBT 发文曝光美国威胁行为者 Dritan Kapllani Jr,称其涉嫌参与总额约 1900 万美元的针对加密用户的社交工程盗窃活动。ZachXBT 表示,Dritan 长期在社交媒体炫耀豪车、名表、私人飞机及夜店生活。2026 年 4 月 23 日,他在 Discord 的一场“Band 4 Band(B4B)”语音中,为证明自己比另一名黑客更富有,公开展示了一只存有 368 万美元资产的 Exodus 钱包。相关 ETH 地址为:0x4487db847db2fc99372a985743a26f46e0b2bba6ZachXBT 追踪发现,该地址与 2026 年 3 月 14 日一起 185 枚 BTC(约 1300 万美元)的社工盗窃案存在关联。次日,Dritan 的 Exodus 钱包收到其中约 530 万美元资金。截至 6 周后的 B4B 通话时,其中约 160 万美元已被花费或洗白。美国司法部门于 5 月 11 日解封针对 Trenton Johnson 的刑事起诉书,其被控参与上述 185 BTC 盗窃案,最高或面临 40 年监禁。起诉书中的“共谋者 1 号(CC-1)”被指即为 Dritan,目前其尚未被正式起诉。ZachXBT 还指出,Dritan 与此前因盗取美国政府 4600 万美元而被捕的黑客 John Daghita(Lick)存在关联,而 John 曾在 Telegram 曝光 Dritan 的旧钱包地址。链上分析显示,该地址与 2025 年多起高置信度社工盗窃案有关,累计涉案金额超过 585 万美元。ZachXBT 表示,Dritan 长期活跃于“The Com”黑客圈,因其未成年身份此前疑似一直未遭正式起诉。目前其已年满 18 岁,“借来的时间可能终于结束了”。
据 SlowMist 披露,其安全监测系统 MistEye 发现一款假冒 TronLink 的 Chrome MV3 扩展,针对 TRON 钱包用户发起双层钓鱼攻击。该扩展通过 Unicode 混淆与品牌仿冒伪装为官方插件,安装后优先加载远程 iframe 弹窗页面,诱导用户输入助记词、私钥、密钥库文件及密码,并通过同源接口与 Telegram Bot 外传。涉事恶意基础设施包括 tronfind-api[.]tronfindexplorer[.]com 和 trx-scan-explorer[.]org,恶意扩展 ID 为 ekjidonhjmneoompmjbjofpjmhklpjdd。SlowMist 建议用户立即卸载该扩展,如已提交敏感信息,应尽快迁移资产并弃用原钱包。
Bybit 安全运营中心发现一项针对搜索 AI 开发工具 Claude Code 的 macOS 用户的多阶段恶意软件攻击活动。 攻击者通过搜索引擎优化投毒将恶意域名推至 Google 搜索结果前列,并诱导用户进入仿冒安装页面,进而窃取浏览器凭据、 macOS 钥匙串、 Telegram 会话、 VPN 配置及加密钱包信息。 Bybit 表示,该恶意软件还可通过后门程序建立持久化访问,并尝试针对超过 250 个浏览器钱包扩展及多个桌面钱包应用。此次恶意基础设施于 3 月 12 日被识别,相关分析、缓解和检测措施已于当日完成。
Telegram 创始人 Pavel Durov 在 X 平台发文称,欧盟拟推广的“年龄验证应用”在设计上存在缺陷,仅用数分钟即被攻破,原因在于其信任用户设备的架构存在根本性安全问题。该方案被定位为“隐私友好”,但实际可被轻易破解,其发展路径总结为:先推出看似保护隐私但存在漏洞的系统,在被攻破后,再以“修复”为由削弱隐私保护,最终演变为以隐私为名的监控工具,这类“意外漏洞事件”可能被用作扩大监管,呼吁公众保持警惕。
据 Elastic Security Labs 披露,威胁行为者冒充风险投资公司,通过 LinkedIn 和 Telegram 引诱目标打开携带恶意代码的 Obsidian 笔记库。此次攻击利用 Obsidian 的 Shell Commands 插件,在受害者打开笔记库时无需利用漏洞即可执行恶意载荷。 攻击中发现的 PHANTOMPULSE 是一种此前未被记录的 Windows 远程访问木马(RAT),其通过以太坊交易数据实现区块链 C2 通信。macOS 端载荷则采用混淆的 AppleScript 投递器,并以 Telegram 频道作为备用 C2。Elastic Defend 在 PHANTOMPULSE 执行前及时检测并阻止了该攻击。
Zerion 披露其部分公司热钱包近日遭受与北韩有关黑客的 AI 驱动社交工程攻击,损失约 10 万美元。Zerion 表示,用户资金、应用及基础设施未受影响,已主动关闭 Web 应用以防风险。 此次事件为本月第二起类似攻击,继 Drift Protocol 被盗 2.8 亿美元后,显示北韩黑客正通过 AI 优化社交工程手段,主要针对加密公司员工及开发者。安全联盟(SEAL)追踪发现,相关黑客组织 UNC1069 通过 Telegram、LinkedIn 和 Slack 等平台,实施多周低压社交工程活动,并利用 AI 工具编辑图像和视频以提升攻击效率。