ChainCatcher のメッセージ、SlowMist の CISO 23pds が X に投稿して明らかにした："北朝鮮のハッカーが Web3 と暗号通貨のソフトウェア開発者に対して「99号作戦」と呼ばれるサイバー攻撃を仕掛けています。この作戦は、偽の採用担当者から始まり、LinkedIn などのプラットフォームで行われ、プロジェクトのテストやコードレビューを通じて開発者を誘惑します。一度被害者が引っかかると、彼らは悪意のある GitLab リポジトリをクローンするように誘導されます。一見無害に見えますが、実際には災害で満ちています。クローンされたコードはコマンドとコントロール（C2）サーバーに接続され、悪意のあるソフトウェアが被害者の環境に埋め込まれ、被害者のコンピュータを制御します。"

ChainCatcher のメッセージ、SlowMist の CISO 23pds が X に投稿して言った："北朝鮮のハッカーによる 'JustJoin' ログインページが再出現しました。"

ChainCatcher のメッセージによると、ajunews が報じたところでは、韓国外交部（MOFA）は公式ウェブサイト上でアメリカと日本と共同で声明を発表し、北朝鮮が暗号通貨の盗難事件に関与している疑いについて説明し、公私部門の協力の重要性を強調しました。三者機関によると、北朝鮮は 2024 年に約 6.6 億ドルの暗号通貨を盗んだとされています。その中には、DMM Bitcoin から盗まれた 3.08 億ドル、Upbit から盗まれた 5000 万ドル、Rain Management から盗まれた 1613 万ドル、WazirX から盗まれた 2.35 億ドル、Radiant Capital から盗まれた 5000 万ドルが含まれています。

ChainCatcher のメッセージ、SlowMist の最高情報セキュリティ責任者 23pds がツイートで、ここ2ヶ月間、北朝鮮のハッカー組織が Hack VC、SevenX Ventures などの機関や個人を装って会議詐欺を行っていると述べており、リスクに注意してください。

ChainCatcher のメッセージによると、The Block が報じたところでは、韓国政府は15人の北朝鮮の個人と1つの団体に対して制裁を実施しました。これは、彼らが暗号通貨の盗難を含む違法なネットワーク活動に関与しているためです。Chainalysis のデータによれば、北朝鮮のハッカーは2024年に134億ドル相当の暗号通貨を盗み、その年に盗まれた総額の61%を占めています。これらの制裁対象はすべて北朝鮮労働党機械工業部の第313局のメンバーであり、この部門は2016年以降、国連安全保障理事会の制裁を受けており、北朝鮮の武器生産、特に弾道ミサイルプロジェクトを担当しています。韓国外交部は、北朝鮮のIT人員がしばしば身分を偽装し、中国、ロシア、東南アジア、アフリカなどに出向き、世界のIT企業から仕事の注文を受ける一方で、情報盗難やサイバー攻撃にも関与していると述べています。

ChainCatcher のメッセージによると、CoinDesk Japan の報道では、暗号取引所 DMM Bitcoin で発生した 4502.9 BTC の盗難事件について、日本の警察庁は 12 月 24 日に、この事件は北朝鮮に本拠を置くハッカー組織 Lazarus Group の Trader Traitor によるものであると発表しました。日本の警察庁は、北朝鮮のハッカーによる違法活動、ネットワーク犯罪、暗号資産の盗難事件を調査するために、引き続きアメリカ連邦捜査局や他のアメリカ政府機関、国際的なパートナーと協力していくと述べています。同時に、日本の警察庁、内閣サイバーセキュリティセンター、金融庁は、攻撃グループの手段と対策に関する文書を発表し、暗号資産関連企業に注意を呼びかけました。この攻撃事件に対処するために、DMM Bitcoin は取引所を閉鎖することを決定しました。資産と顧客アカウントは SBIVC Trade に移管される予定で、移行は 2025 年 3 月に完了する見込みです。

ChainCatcher のメッセージによると、公式発表において Hyperliquid Labs は、いわゆる北朝鮮のハッカーアドレスの活動に関する報道を認識していると述べています。実際、Hyperliquid は北朝鮮のハッキング攻撃を受けておらず------いかなる形の攻撃も発生していません。すべてのユーザー資金は適切に管理されています。Hyperliquid Labs は運用の安全性を非常に重視しています。いかなる当事者も脆弱性を公開したことはありません。いつものように、Hyperliquid Labs は脆弱性報告に対して豊富な報酬プログラムを提供し、業界のベストスタンダードに従ってブロックチェーン分析を行っています。以前、安全側を名乗る者が現れ、Hyperliquid Labs に連絡を試みました。明確にするために、Hyperliquid Labs はそのプラットフォームが攻撃を受けたという主張を一度も受け取ったことはありません。その者は詐欺アカウントをグループチャットに追加し、その後侮辱や悪口を交えて私たちとコミュニケーションを取りました。その専門性のレベルを考慮し、Hyperliquid Labs は信頼できる側と確認を行い、最良の実践を遵守していることを確保しました。

ChainCatcher のメッセージによると、CoinDesk の報道で、永続契約取引プラットフォーム HyperLiquid は 12 月 23 日に記録的な 6000 万ドルの USDC 純流出を記録しました。以前のニュースによると、ハッカー行動観察者の Tay が明らかにしたところによれば、疑わしい北朝鮮ハッカー関連のアドレスがこのプラットフォームでの取引で累計 70 万ドル以上の損失を出しており、プラットフォームの脆弱性をテストしている可能性があります。

ChainCatcher のメッセージ、海外 KOL Tay が X で整理したデータによると、複数のマークされた北朝鮮のハッカーアドレスが最近 Hyperliquid で取引を行っており、現在の総損失は 70 万ドルを超えています。複数のコミュニティメンバーは、これらの取引活動が北朝鮮のハッカーが Hyperliquid を潜在的なターゲットとしており、取引を実行することでシステムの安定性をテストしていることを意味するのではないかと懸念しています。

ChainCatcher のメッセージによると、Techcrunch の報道で、木曜日に発表された Chainalysis の報告書は、今年、盗まれた暗号通貨の総価値が 21% 増加し、22 億ドルに達したことを示しています。そのうち、半分以上の金額が北朝鮮に関連するハッカーグループによって盗まれました。2024 年には、北朝鮮に関連するハッカーが 47 件の事件で当年盗まれた総額の 61% を盗み、価値は 13.4 億ドルに達しました。一方、2023 年には 20 件の事件で 6.605 億ドル、2022 年には 4 億ドルを盗みました。これは、彼らがこれらの攻撃にますます関与していることを示しています。報告書は、今年のほとんどの暗号通貨ハッキング事件が 1 月から 7 月の間に発生し、盗まれた金額は 15.8 億ドルを超え、2023 年の同時期と比べて約 84.4% 増加したと強調しています。7 月以降、上昇傾向は著しく鈍化し、2021 年および 2022 年とは大きく異なります。これは地政学的な問題による可能性があります。Chainalysis は、7 月以降のハッキング事件の数が停滞しているのは、北朝鮮とロシアの同盟によるものであり、この同盟はロシアのプーチン大統領と北朝鮮の金正恩指導者が 6 月に会談した後に現れました。6 月の首脳会談以降、北朝鮮が盗んだ暗号資産の金額は 53.73% 減少しました。北朝鮮とロシアの協力が強化される中で、北朝鮮はそのサイバー犯罪戦術を変更する可能性があります。

ChainCatcher のメッセージ、アメリカ財務省は火曜日に、北朝鮮の暗号通貨マネーロンダリングネットワークを閉鎖するための取り組みを行ったと発表しました。このネットワークは、北朝鮮のこの世界的な暗号犯罪の主要な参加者に数百万ドルの資金を洗浄していました。アメリカ財務省海外資産管理局（OFAC）が発表したプレスリリースによると、アラブ首長国連邦にあるフロント会社「Green Alpine Trading, LLC」が、暗号通貨を現金に換え、北朝鮮に資金を提供していることが判明しました。アメリカ政府の制裁部門は、この会社をブラックリストに載せ、2022年以降このネットワークに関与していた2名の中国国籍の市民にも制裁を課しました。プレスリリースによると、アラブ首長国連邦はこの行動においてアメリカと協力しました。現在、制裁を受けた2名の中国市民、ル・ファーインとチャン・ジエンの状況は不明です。プレスリリースによれば、彼らは北朝鮮の「代理人」シム・ヒョンソプと共に違法活動に従事していました。

ChainCatcher のメッセージによると、Cointelegraph の報道で、Radiant Capital は 12 月 6 日に更新された調査報告書で、サイバーセキュリティ会社 Mandiant が評価した結果、今回の攻撃は北朝鮮（DPRK）に関連する脅威行為者によるものであると高度に確信していると述べています。このプラットフォームによると、Radiant の開発者の一人が 9 月 11 日に、"信頼できる前の請負業者" からの圧縮ファイルを含む Telegram メッセージを受け取り、彼らが計画している新しい仕事についてフィードバックを求められました。調査の結果、このメッセージは前の請負業者を装った北朝鮮と結びついた脅威行為者からのものである疑いがあります。"この ZIP ファイルは、他の開発者にフィードバックを求める際に共有され、最終的にマルウェアを送信し、その後の侵入を容易にしました"。Radiant Capital は、この事件に関与した脅威行為者を "UNC4736" と呼び、北朝鮮の主要な情報機関である情報総局（RGB）に関連しているとされ、ハッカーグループ Lazarus Group の一派であると推測されています。以前の報道によると、クロスチェーン貸付プロトコル Radiant Capital はサイバー攻撃を受け、5000 万ドル以上の損失を被りました。

ChainCatcher のメッセージ、Radiant Capital の公式は本日、10 月に発生した盗難事件の完全な報告を発表しました。Radiant Capital は、調査が進行中であるにもかかわらず、セキュリティ会社 Mandiant がこの攻撃が北朝鮮に関連する悪意のある攻撃者によるものであると強く確信していると述べています。ChainCatcher 以前報じたように、セキュリティ会社 Ancilia の情報によれば、10 月 17 日の深夜にクロスチェーン貸付プロトコル Radiant Capital がネットワーク攻撃を受け、5000 万ドル以上の損失を被りました。Radiant はマルチシグウォレット（略称「multisig」）によって制御されており、攻撃者は複数の署名者の秘密鍵を掌握し、その後複数のスマートコントラクトを制御したとされています。

ChainCatcher のメッセージ、マイクロソフトはブログ記事で「Sapphire Sleet」と呼ばれる一群の北朝鮮ハッカーについて詳しく説明しました。彼らはリクルーターやベンチャーキャピタリストに偽装し、個人や企業から暗号通貨を盗むことを目的としています。餌やりや初期接触でターゲットに接触した後、北朝鮮のハッカーは仮想会議を設定しますが、その会議は実際には異常にロードされるように設計されています。偽のVCのシナリオでは、被害者に仮想会議ツールの修正を装ったマルウェアをダウンロードさせることが強制されます。偽のリクルーターの活動では、潜在的な候補者にスキル評価をダウンロードして完了するよう求められますが、この評価には実際にはマルウェアが含まれています。インストール後、マルウェアはコンピュータ上の他のデータ、暗号通貨ウォレットを含むにアクセスできます。マイクロソフトによると、わずか6ヶ月でハッカーは少なくとも1000万ドルの暗号通貨を盗み、過去10年間で数十億ドルの暗号通貨を盗んでいます。

ChainCatcher のメッセージ、韓国の警察は初めて確認しました。2019年に暗号通貨取引所 Upbit から盗まれた 342,000 枚のイーサリアムは、北朝鮮の情報局傘下のハッカー組織「ラザルス」（Lazarus）と「アンダリエル」（Andariel）によるものである。警察は北朝鮮の IP アドレス、暗号資産の流れ、および FBI と協力して得た証拠を通じて結論を出しました。そのうち 57% のイーサリアムは安値でビットコインに交換され、残りの資産は海外の 51 の取引所を通じてマネーロンダリングされました。警察は 4 年間の追跡の結果、スイスの取引所から 4.8 枚のビットコイン（約 6 億ウォン）を回収し、Upbit に返還しました。

ChainCatcher のメッセージによると、Cointelegraph が報じたところでは、北朝鮮のハッカーが Apple のセキュリティチェックを回避できるマルウェアを開発したようです。Apple に特化した Jamf Threat Labs の研究者は、これらのアプリケーションが実験的であるようだと述べています。これは、彼らがこの技術を使用して Apple の macOS オペレーティングシステムに侵入するのを初めて見たことになりますが、最新のシステムでは動作しません。研究者たちは、Microsoft の VirusTotal オンラインスキャンサービスがこれらのアプリケーションを無害と報告しているが、実際には悪意があることを発見しました。これらのアプリケーションのバリエーションは、Go と Python 言語で書かれており、Google Flutter アプリケーションを使用しています。Flutter は、マルチプラットフォームアプリケーションを作成するためのオープンソース開発ツールキットです。6 つの悪意のあるアプリケーションのうち 5 つは開発者アカウントの署名があり、Apple によって一時的に公証されています。研究者たちは「このマルウェアに含まれるドメイン名と技術は、他の北朝鮮のハッカーによるマルウェアで使用されているドメイン名と技術と非常に似ており、このマルウェアが署名され、さらには一時的に Apple の公証プロセスを通過した兆候がある」と書いています。

ChainCatcher のメッセージによると、Cointelegraph の報道に基づき、SentinelLabs のレポートによれば、北朝鮮のハッカー BlueNoroff が新しいマルウェアを利用して暗号通貨会社を攻撃しているとのことです。通称「Hidden Risk」のマルウェアは、複数の段階を経て PDF ファイルを通じて拡散し、偽のニュースタイトルや暗号市場の研究を利用してユーザーにダウンロードを促しています。このマルウェアパッケージには、ハッカーが被害者のコンピュータにリモートアクセスし、デジタル資産ウォレットやプラットフォームの秘密鍵を含む敏感な情報を盗むためのバックドアを提供する機能が含まれています。サイバーセキュリティ会社 Recorded Future によれば、2017 年以来、北朝鮮のハッカー組織は約 300 億ドルの資金を盗んでいるとのことです。