Recommandé

Dépôt de cryptos Effectuez des transferts de cryptos instantanés sur votre compte de contrats à terme
USDT-M Contrats à terme perpétuels Négocier des contrats à terme en USDT
Réductions des frais VIP Profitez de différentes réductions de frais en fonction de votre niveau VIP
Monnaie-M Contrats à terme perpétuels Négocier des contrats à terme en cryptos
Acheter Crypto Achetez vos monnaies préférées en quelques secondes
Affiliés Invitez des amis et gagnez des récompenses
Convertir Convertissez votre crypto instantanément
Centre d'assistance Consultez notre FAQ ici
Annonces Consulter toutes nos annonces officielles
Académie de BTCC En savoir plus sur la blockchain et la crypto
Actualités Les dernières tendances du marché de la crypto

Promotions

Parrainage
Campagnes
inscrire
BTCC / BTCC Square / CryptopolitanFR /
BitMEX déjoue une attaque du groupe Lazarus et expose leurs vulnérabilités

BitMEX déjoue une attaque du groupe Lazarus et expose leurs vulnérabilités

Author:
CryptopolitanFR
Published:
2025-05-30 21:55:17

La plateforme de trading crypto BitMEX a contrecarré une tentative de piratage sophistiquée attribuée au groupe Lazarus. Les équipes de sécurité ont non seulement bloqué l’attaque, mais ont aussi exposé les adresses IP et les techniques défaillantes des hackers.

Ops et hackers ont laissé des traces grossières—preuve que même les groupes cybercriminels les plus redoutés peuvent se tromper. Une piqûre de rappel pour les exchanges qui négligent encore leur sécurité sous prétexte de « réduire les coûts ».

Bitmex dissèque les logiciels malveillants, trouve les empreintes digitales de Lazarus

À l’intérieur du repo, les ingénieurs Bitmex ont recherché le terme EVAL, un drapeau rouge commun dans les logiciels malveillants. Une ligne de code avait été commentée, mais cela révélait toujours l’intention. S’il est actif, il aurait contacté «hxxp: // régionCheck [.] Net / api / user / tiers cookie / v3 / 726» pour récupérer un cookie et l’exécuter. Ce domaine était auparavant lié à Lazarus par l’unité 42 de Palo Alto Networks, une équipe de cyber-activité de la RPD tracdepuis des années.

Source: bitmex

Une autre ligne était active. Il a envoyé une demande à «HXXP: // FASH defi [.] Store: 6168 / Defy / V5» et a exécuté la réponse. Bitmex a manqué manuellement ce javascript et a constaté qu’il était fortement obscurci. À l’aide de webcrack, un outil de déobfuscation de code, l’équipe aurait retiré les calques. La sortie finale était désordonnée mais lisible, car elle ressemblait à trois scripts différents brisés en un.

Une partie du code contenait des ifiersdentpour les extensions chromées, ce qui pointe généralement pour ledentde logiciels malveillants de vol. Une chaîne, P.Zi, ressemblait à des logiciels malveillants de Lazarus plus anciens utilisés dans la campagne Beavertail, une autre opération précédemment documentée par l’unité 42. Bitmex a décidé de ne pas réanalyser le composant Beavertail, car il était déjà public.

Au lieu de cela, ils se sont concentrés sur une autre découverte: le code connecté à une instance Supabase. Supabase est une plate-forme backend pour les développeurs, un peu comme Firebase. Le problème? Les développeurs de Lazare ne l’ont pas verrouillé. Lorsque Bitmex l’a testé, ils ont pu accéder directement à la base de données, pas de connexion, pas de protection.

Les pirates exposent les journaux des appareils infectés et leurs propres IP

La base de données Supabase avait 37 journaux de machines infectées. Chaque entrée a montré le nom d’utilisateur, le nom d’hôte, le système d’exploitation, l’adresse IP, la géolocalisation et l’horodatage. Bitmex a remarqué des modèles - certains appareils sont apparus à plusieurs reprises, ce qui les a fait ressortir en tant que développeur ou machines de test. Le format de dénomination pour la plupart des noms d’hôtes a suivi une structure 3-xxx.

Beaucoup de IPs provenaient de fournisseurs de VPN. Un utilisateur, «Victor», souvent connecté à l’aide de Touch VPN. Un autre, «Ghost72», a utilisé Astrill VPN. Mais alors Victor a gâché. Une entrée liée à lui avait une ip - 223.104.144.97 différente, une IP dedentà Jiaxing, en Chine, sous China Mobile. Ce n’était pas un VPN. C’était probablement la véritable adresse IP d’un opérateur de Lazare. Bitmex l’a signalé en tant que défaillance des opérations majeures.

Bitmex a ensuite construit un outil pour continuer à pinging dans la base de données Supabase. Depuis le 14 mai, l’outil a collecté 856 entrées dans la base de données, qui remonte au 31 mars. Parmi eux, il y avait 174 combinaisons uniques de noms d’utilisateur et de noms d’hôtes. Le système s’exécute désormais en continu, à la recherche de nouvelles infections ou plus d’erreurs par les attaquants.

En examinant les horodatages, Bitmex a constaté que l’activité de Lazare tombe entre 8 h et 13 h UTC, qui est 17 h à 22 h à Pyongyang. Cela correspond à un horaire de travail structuré, ce qui donne plus de preuves que le groupe n’est pas seulement quelques pirates indépendants - c’est une équipe organisée.

L’équipe de sécurité confirme le modèle Lazare et la scission interne

Le groupe Lazare a une histoire connue d’attaques d’ingénierie sociale. Dans unedentantérieure comme la violation du recours, ils ont trompé un employé de Safe Wallet pour gérer un dossier malveillant. Cela leur a donné un accès initial.

Ensuite, une autre partie de l’équipe a pris le relais, a accédé à l’environnement AWS et a changé le code frontal pour voler la crypto des portefeuilles froids. Bitmex a déclaré que ce modèle montre que le groupe est probablement divisé en plusieurs équipes - certaines faisant le phishing de base, d’autres gantant les intrusions avancées une fois l’accès acquis.

Bitmex a écrit: "Au cours des dernières années, il semble que le groupe se soit divisé en plusieurs sous-groupes qui ne sont pas nécessairement de la même sophistication technique." L’équipe de sécurité a déclaré que cette campagne suivait ce même modèle. Le message initial sur LinkedIn était simple, le GitHub Repo AmateUrish.

Mais le script post-exploitation a montré beaucoup plus de compétences, clairement construite par quelqu’un de plus expérimenté. Après la désobfuscation du malware, Bitmex a putracdes indicateurs de compromis (CIO) et les alimenter dans leurs systèmes internes.

Ils ont renommé des variables, nettoyé le script et suivi son fonctionnement. La première partie du code était nouvelle, et elle aurait envoyé des données système (nom d’utilisateur, IP, etc.) directement dans Supabase, ce qui trac … pour tous ceux qui ont trouvé la base de données ouverte.

Bitmexdentégalement des machines à nuire au développement. Les exemples incluaient Victor @ 3-kzh, qui a été utilisé avec Touch VPN et China Mobile. D’autres comme Ghost72 @ 3-UJS-2 et super @ 3-ahr-2 ont utilisé un mélange de bouclier Astrill, Zoog et Hotspot. Les journaux ont même montré des comptes d’utilisateurs comme Admin @ 3-HIJ, Lenovo @ 3-rks, GoldRock @ Desktop-N4VEL23 et Muddy @ Desktop-MK87CBC. Il s’agissait probablement d’environnements de test mis en place par les attaquants.

Le fil de différence clé aide les marques de crypto à briser et à dominer les titres rapidement

|Square

Obtenez l'application BTCC pour commencer votre expérience avec les cryptomonnaies

Download on the App Store GET IT ON Google Play

Commencer aujourd'hui Scannez pour rejoindre nos + de 100 millions d’utilisateurs

Exchange for a better future

Produits
Services
Guides
À propos de nous
Conditions et accord
Service client
Médias sociaux

Avertissement concernant les risques : Le trading d’actifs numériques est une industrie émergente avec de belles perspectives, mais elle comporte également d’énormes risques car il s’agit d’un nouveau marché. Les risques sont particulièrement élevés dans le trading à effet de levier, car l’effet de levier amplifie les profits et amplifie en même temps les risques. Veuillez vous assurer d'avoir une très bonne compréhension du secteur, des modèles de trading à effet de levier et des règles de trading avant d'ouvrir une position. De plus, nous vous recommandons fortement d’identifier votre tolérance au risque et d’accepter uniquement les risques que vous êtes prêt à prendre. Tout trading comporte des risques, vous devez donc être prudent lorsque vous entrez sur le marché.

L'échange de cryptomonnaies le plus ancien au monde depuis 2011 © 2011 - 2026 BTCC.com. All rights reserved