北朝鮮のLazarus Groupとつながりのあるハッカーが、Non-fungible Token(NFT)の投資家をターゲットにした大規模なフィッシング(サイト詐欺)キャンペーンの背後にいると言われています。このキャンペーンでは、約500のフィッシングドメインを使用して、人々を騙して情報を提供させています。
ブロックチェーンセキュリティ企業のスローミストは12月24日、北朝鮮のAPT(Advanced Persistent Threat)グループがNFTの投資家にNFTを入手させないようにする方法についてレポートを発表しました。このレポートには、NFT関連のプラットフォームや、他のプロジェクトのように見えるウェブサイトが含まれています。
これらの偽ウェブサイトの1つはワールドカップ関連プロジェクトのように見せかけ、他のものはOpenSea、X2Y2、Raribleといった有名なNFTマーケットプレイスのように見せかけようとしています。
スローミストによると、これらの偽サイトが行っていることの1つは、「悪意のあるミント」を提供し、人々が自分のウォレットをウェブサイトに接続すると、本物のNFTを作っているように思わせることだそうです。
しかし、このNFTは偽物で、ハッカーは被害者の財布にアクセスできるようになり、さらに盗まれる可能性があるのです。
また、多くのフィッシング・ウェブサイトが同じインターネット・プロトコル(IP)を使用しており、同じIPを使用するNFTフィッシング・ウェブサイトが372件、異なるIPにリンクするNFTフィッシング・ウェブサイトが320件あったことが報告されています。
スローミストtによると、フィッシングキャンペーンは数ヶ月前から行われており、最初のドメイン名は約7ヶ月前に登録されたとのことです。
フィッシャーは、外部サイトの訪問者情報を収集・保存するだけでなく、写真をターゲットプロジェクトにリンクさせることも行っています。
ハッカーは、訪問者のデータを盗もうとするとき、被害者に対して複数の攻撃スクリプトを実行し、被害者のアクセスログ、認証、プラグイン・ウォレットの使用状況、機密データへのアクセスを許可する。例えば、被害者の告白記録やシグデータなどです。
これらの情報はすべて、ハッカーが被害者のウォレットにアクセスすることを可能にし、被害者のデジタル貴重品をすべて暴くことになるのです。
スローミストは、この調査はごく一部の文書を調査し、北朝鮮のハッカーのフィッシングの特徴の一部を抽出したものであり、これは単に「氷山の一角」であることを強調しました。
例えば、スローミストは、1つのフィッシングアドレスが、そのフィッシング手法を利用することで、1,055NFTと300ETH、367,000ドル相当を活用することができたと指摘。
また、Prevailionが3月15日に最初に報告したNaverのフィッシングも、同じ北朝鮮のAPT組織が担当したと述べています。
2022年、北朝鮮は数多くの暗号資産窃盗活動の焦点となりました。
韓国の国家情報院(NIS)が12月22日に発表した調査によると、北朝鮮は2018年に6億2千万ドル相当の暗号資産を盗んだという。
日本の警察庁は10月に国内の暗号資産企業に対して警告を発し、北朝鮮のハッキング集団に注意するよう勧告しました。
