同時關聯該項目與事件的快訊
據 Cryptopolitan 報道,朝鮮背景黑客組織 Lazarus Group 被發現部署無文件遠程訪問木馬 RemotePE,主要針對銀行、加密貨幣交易所及金融科技公司。該惡意軟件以純內存方式運行,結合進程空洞化、反分析檢測及加密的 C2 通信,傳統殺毒與取證工具較難發現。報道指出,攻擊通常通過 Telegram 社會工程展開,攻擊者冒充交易公司員工,藉助僞造的 Calendly 和 Picktime 誘導受害者安裝惡意程序,最終在不接觸文件系統的情況下完成載荷執行。
鏈上偵探 ZachXBT 發文曝光美國威脅行爲者 Dritan Kapllani Jr,稱其涉嫌參與總額約 1900 萬美元的針對加密用戶的社交工程盜竊活動。ZachXBT 表示,Dritan 長期在社交媒體炫耀豪車、名錶、私人飛機及夜店生活。2026 年 4 月 23 日,他在 Discord 的一場“Band 4 Band(B4B)”語音中,爲證明自己比另一名黑客更富有,公開展示了一隻存有 368 萬美元資產的 Exodus 錢包。相關 ETH 地址爲:0x4487db847db2fc99372a985743a26f46e0b2bba6ZachXBT 追蹤發現,該地址與 2026 年 3 月 14 日一起 185 枚 BTC(約 1300 萬美元)的社工盜竊案存在關聯。次日,Dritan 的 Exodus 錢包收到其中約 530 萬美元資金。截至 6 周後的 B4B 通話時,其中約 160 萬美元已被花費或洗白。美國司法部門於 5 月 11 日解封針對 Trenton Johnson 的刑事起訴書,其被控參與上述 185 BTC 盜竊案,最高或面臨 40 年監禁。起訴書中的“共謀者 1 號(CC-1)”被指即爲 Dritan,目前其尚未被正式起訴。ZachXBT 還指出,Dritan 與此前因盜取美國政府 4600 萬美元而被捕的黑客 John Daghita(Lick)存在關聯,而 John 曾在 Telegram 曝光 Dritan 的舊錢包地址。鏈上分析顯示,該地址與 2025 年多起高置信度社工盜竊案有關,累計涉案金額超過 585 萬美元。ZachXBT 表示,Dritan 長期活躍於“The Com”黑客圈,因其未成年身份此前疑似一直未遭正式起訴。目前其已年滿 18 歲,“借來的時間可能終於結束了”。
據 SlowMist 披露,其安全監測系統 MistEye 發現一款假冒 TronLink 的 Chrome MV3 擴展,針對 TRON 錢包用戶發起雙層釣魚攻擊。該擴展通過 Unicode 混淆與品牌仿冒僞裝爲官方插件,安裝後優先加載遠程 iframe 彈窗頁面,誘導用戶輸入助記詞、私鑰、密鑰庫文件及密碼,並通過同源接口與 Telegram Bot 外傳。涉事惡意基礎設施包括 tronfind-api[.]tronfindexplorer[.]com 和 trx-scan-explorer[.]org,惡意擴展 ID 爲 ekjidonhjmneoompmjbjofpjmhklpjdd。SlowMist 建議用戶立即卸載該擴展,如已提交敏感信息,應儘快遷移資產並棄用原錢包。
Bybit 安全運營中心發現一項針對搜索 AI 開發工具 Claude Code 的 macOS 用戶的多階段惡意軟件攻擊活動。 攻擊者通過搜索引擎優化投毒將惡意域名推至 Google 搜索結果前列,並誘導用戶進入仿冒安裝頁面,進而竊取瀏覽器憑據、 macOS 鑰匙串、 Telegram 會話、 VPN 配置及加密錢包信息。 Bybit 表示,該惡意軟件還可通過後門程序建立持久化訪問,並嘗試針對超過 250 個瀏覽器錢包擴展及多個桌面錢包應用。此次惡意基礎設施於 3 月 12 日被識別,相關分析、緩解和檢測措施已於當日完成。
Telegram 創始人 Pavel Durov 在 X 平臺發文稱,歐盟擬推廣的“年齡驗證應用”在設計上存在缺陷,僅用數分鐘即被攻破,原因在於其信任用戶設備的架構存在根本性安全問題。該方案被定位爲“隱私友好”,但實際可被輕易破解,其發展路徑總結爲:先推出看似保護隱私但存在漏洞的系統,在被攻破後,再以“修復”爲由削弱隱私保護,最終演變爲以隱私爲名的監控工具,這類“意外漏洞事件”可能被用作擴大監管,呼籲公衆保持警惕。
據 Elastic Security Labs 披露,威脅行爲者冒充風險投資公司,通過 LinkedIn 和 Telegram 引誘目標打開攜帶惡意代碼的 Obsidian 筆記庫。此次攻擊利用 Obsidian 的 Shell Commands 插件,在受害者打開筆記庫時無需利用漏洞即可執行惡意載荷。 攻擊中發現的 PHANTOMPULSE 是一種此前未被記錄的 Windows 遠程訪問木馬(RAT),其通過以太坊交易數據實現區塊鏈 C2 通信。macOS 端載荷則採用混淆的 AppleScript 投遞器,並以 Telegram 頻道作爲備用 C2。Elastic Defend 在 PHANTOMPULSE 執行前及時檢測並阻止了該攻擊。
Zerion 披露其部分公司熱錢包近日遭受與北韓有關黑客的 AI 驅動社交工程攻擊,損失約 10 萬美元。Zerion 表示,用戶資金、應用及基礎設施未受影響,已主動關閉 Web 應用以防風險。 此次事件爲本月第二起類似攻擊,繼 Drift Protocol 被盜 2.8 億美元后,顯示北韓黑客正通過 AI 優化社交工程手段,主要針對加密公司員工及開發者。安全聯盟(SEAL)追蹤發現,相關黑客組織 UNC1069 通過 Telegram、LinkedIn 和 Slack 等平臺,實施多周低壓社交工程活動,並利用 AI 工具編輯圖像和視頻以提升攻擊效率。