copyleftdev/lazarus-19day-abtest

GitHub: copyleftdev/lazarus-19day-abtest

这是一个针对Lazarus集团三波GitHub钓鱼活动的深度威胁情报包，集成了多种检测规则、C2基础设施映射及战术分析以辅助安全防御。

Stars: 0 | Forks: 0

# Lazarus Group：19天 A/B 测试活动分析关于 Lazarus Group 针对开发者的三波 GitHub 钓鱼活动（2026年3月 -- 4月）的深度威胁情报包。通过利用 VulnGraph、GitHub OSINT、区块链取证和实时 C2 侦察，丰富了 [@toxy4ny](https://github.com/toxy4ny) 的原始研究。 ## 目录 - [活动概览](#campaign-at-a-glance) - [杀伤链](#kill-chain) - [攻击波次对比](#wave-comparison) - [C2 基础设施](#c2-infrastructure) - [归因](#attribution) - [关键发现](#key-findings) - [仓库布局](#repository-layout) - [情报报告](#intel-reports) - [检测工程](#detection-engineering) - [威胁共享格式](#threat-sharing-formats) - [快速开始](#quick-start) - [来源与工具](#sources-and-tools) - [使用 Vajra 构建](#built-with-vajra) - [致谢](#credits) - [免责声明与许可证](#disclaimer-and-license) ## 活动概览 ``` gantt title Campaign Timeline (19 Days) dateFormat YYYY-MM-DD axisFormat %b %d section Wave 1 OpenClaw Airdrop (GREED) :crit, w1, 2026-03-20, 1d section Gap 7-day pivot :done, g1, 2026-03-21, 6d section Wave 2 Fake VS Code CVE (FEAR) :active, w2, 2026-03-27, 1d section Gap 12-day pivot :done, g2, 2026-03-28, 11d section Wave 3 Uniswap Recruitment (AMBITION) :active, w3, 2026-04-08, 1d ``` 三波攻击。同一目标池。三种心理触发机制。每次投递方式完全相同：通过 `share.google/` URL 重定向的大规模提及讨论，滥用 **GitHub 通知管道**。 | | 第一波 | 第二波 | 第三波 | |:--|:--|:--|:--| | **日期** | 3月20日 | 3月27日 | 4月8日 | | **情绪** | 贪婪 | 恐惧 | 野心 | | **诱饵** | 5千美元 CLAW 代币空投 | 虚假严重 CVE | 30万 -- 45万美元工作邀约 | | **载荷** | eleven.js 钱包耗尽程序 | 恶意软件投放器 | GolangGhost RAT | | **状态** | 已重定向至蜜罐 | 活跃 | 活跃 | ## 杀伤链

Kill Chain

## 攻击波次对比

Wave Comparison

## C2 基础设施

C2 Infrastructure

## 归因

Attribution

## 关键发现 | # | 发现 | 详情 | |:-:|---------|--------| | 1 | **确认伪造虚假 CVE** | VulnGraph（34.3万个 CVE）、MITRE 和 NVD 中均不存在 `CVE-2026-40271-64398` | | 2 | **攻击者钱包处于休眠状态** | `0x6981E9EA...` 从未有过任何交易 —— 零受害者损失资金 | | 3 | **857 名开发者被攻陷** | 通过 Contagious Interview 波及 90 个国家；241,764 条凭证被盗 | | 4 | **C2 基础设施仍在线** | 大多数域名和 IP 正常运行；运营者积极阻止研究人员 | | 5 | **历史上盗窃总额达 67.5 亿美元** | Lazarus 是历史上获利最丰厚的国家资助网络犯罪行动 | | 6 | **AI 工具成为新目标** | OtterCookie npm 包冒充 Gemini、Cursor、Claude | | 7 | **OpenClaw 上存在 217 个真实 CVE** | 11 个严重，91 个高危；4.2万+ 暴露实例 —— 高价值冒充目标 | | 8 | **70% 蜜罐概率** | Red Asgard 评估部分 C2 服务器可能是反情报陷阱 | ## 仓库布局 ``` vajra-sec-experiment/ │ ├── README.md ├── LICENSE MIT ├── DISCLAIMER.md Legal, attribution caveats, responsible use │ ├── diagrams/ Generated architecture diagrams │ ├── generate_all.py Python diagrams-as-code source │ ├── 01_kill_chain.png Six-stage attack flow │ ├── 02_c2_infrastructure.png Full C2 topology │ ├── 03_attribution.png DPRK org tree + campaign mapping │ ├── 04_wave_comparison.png Side-by-side wave breakdown │ └── 05_stix_bundle.png STIX object composition │ ├── intel/ Intelligence reports │ ├── dossier.md Master campaign analysis │ ├── strategic-context.md DPRK program & $6.75 B context │ ├── blockchain-forensics.md Wallet trace (dormant, 0 victims) │ ├── c2-infrastructure-status.md Live recon (857 victims, 241 K creds) │ └── iocs.json Structured IOCs (machine-readable) │ ├── detection/ Detection engineering │ ├── yara/ │ │ └── lazarus_19day_campaign.yar 9 rules │ ├── sigma/ │ │ ├── ...notification_phishing.yml 2 rules (proxy + email) │ │ └── ...contagious_interview_endpoint.yml 4 rules (persistence + theft) │ ├── suricata/ │ │ └── lazarus_network.rules 23 rules (C2 IPs, ports, protocols) │ ├── nuclei/ │ │ └── lazarus-c2-infrastructure.yaml 5 scanning templates │ ├── hunting-queries.md Splunk, KQL, EQL, Shodan, Censys, VT │ └── ioc-blocklist.txt Flat blocklist for firewall / DNS / proxy │ ├── sharing/ Threat intel exchange │ ├── attack-navigator/ │ │ └── lazarus-19day-layer.json 72 ATT&CK techniques │ └── stix/ │ └── lazarus-19day-bundle.json 80 STIX 2.1 objects │ └── tools/ └── vajra-skill.md Vajra analysis engine reference ``` ## 情报报告 | 报告 | 涵盖内容 | 标题数字 | |--------|---------------|-----------------| | [`intel/dossier.md`](intel/dossier.md) | 完整活动分析、恶意软件拆解、ATT&CK 映射 | 3波攻击，15项技术 | | [`intel/strategic-context.md`](intel/strategic-context.md) | 朝鲜网络计划、空壳公司、活动谱系 | 历史上盗窃总额达 67.5 亿美元 | | [`intel/blockchain-forensics.md`](intel/blockchain-forensics.md) | 链上钱包追踪 | 0 交易，0 受害者 | | [`intel/c2-infrastructure-status.md`](intel/c2-infrastructure-status.md) | 实时 C2 侦察、受害者影响、新基础设施 | 857 名开发者，24.1万条凭证 | | [`intel/iocs.json`](intel/iocs.json) | 机器可读的结构化 IOC 数据集 | 适用于 SIEM/SOAR 的 JSON 格式 | ## 检测工程 ### YARA -- 9 条规则 | 规则 | 目标 | |------|---------| | `Lazarus_ElevenJS_WalletDrainer` | C2 域名、钱包地址、`nuke()` 函数、混淆模式 | | `Lazarus_FakeCVE_Lure` | CVE-2026-40271、虚假研究员名称、紧迫性措辞 | | `Lazarus_GoogleShare_Redirect` | 三次活动中的所有重定向 URL | | `Lazarus_PylangGhost_RAT` | 10条命令字典、函数签名、C2 域名、工件 | | `Lazarus_PylangGhost_Hashes` | 5 个已知 SHA-256 文件哈希 | | `Lazarus_ContagiousInterview_Workspace_Init` | 遥测数据外传、追踪器 URL、VS Code 上下文 | | `Lazarus_BeaverTail_C2_Ports` | 多端口签名、6 个 XOR 加密密钥 | | `Lazarus_FakeRecruitment_Lure` | 薪资异常值、语法标记、DeFi 挑战模式 | | `Lazarus_Axios_Supply_Chain` | `plain-crypto-js` 木马、恶意 axios 版本 | ### Sigma -- 6 条规则 | 规则 | 层级 | 检测内容 | |------|-------|---------| | GitHub 通知钓鱼 | 代理 | Google Share 重定向 URL、C2 域名 | | 虚假 CVE 邮件 | 邮件 | CVE-2026-40271、虚假研究员归属 | | VS Code 工作区初始化 | 终端 | 恶意 `init-workspace` 脚本、遥测数据外传 | | PylangGhost 持久化 | 注册表 | `NodeHelper`、`csshost.exe`、`nvidiaRelease` | | 计划任务持久化 | 终端 | `NodeUpdate`、`Runtime Broker` 任务 | | 钱包扩展盗窃 | 文件访问 | 非浏览器进程访问 MetaMask / Phantom / Keplr 数据 | ### Suricata / Snort -- 23 条规则所有已知的 C2 IP 和端口、FTP 外传服务器、基于域名的检测、Vercel 预发布环境、用户代理签名，以及端口 22411-22412 上的自定义二进制协议。 ### Nuclei -- 5 个模板 | 模板 | 扫描内容 | |----------|-----------| | BeaverTail 端口签名 | 端口 1244 + 5918 共现 | | Z238 二进制协议 | 端口 22411 上的自定义二进制标识 | | OpenClaw 钓鱼站点 | 托管 `eleven.js` 的克隆站点 | | PylangGhost C2 | `python-requests` 用户代理 C2 模式 | | Vercel 第一阶段 | 已知仍在线的 Vercel 预发布域名 | ### 威胁狩猎查询针对 **Splunk SPL**、**Microsoft KQL**、**Elastic EQL**、**Shodan / Censys** 和 **VirusTotal** 的预构建查询。 ## 威胁共享格式 ### ATT&CK Navigator 将 [`sharing/attack-navigator/lazarus-19day-layer.json`](sharing/attack-navigator/lazarus-19day-layer.json) 导入 [ATT&CK Navigator](https://mitre-attack.github.io/attack-navigator/)。 ``` 72 technique entries | 33 unique techniques Red = 20 observed in this campaign Orange = 13 broader Lazarus G0032 arsenal ``` ### STIX 2.1 Bundle 将 [`sharing/stix/lazarus-19day-bundle.json`](sharing/stix/lazarus-19day-bundle.json) 导入 [MISP](https://www.misp-project.org/) 或 [OpenCTI](https://www.opencti.io/)。

STIX Bundle

## 快速开始 **立即封禁 IOC** ``` grep -v '^#' detection/ioc-blocklist.txt | grep -v '^$' ``` **使用 Nuclei 扫描基础设施** ``` nuclei -t detection/nuclei/lazarus-c2-infrastructure.yaml -l targets.txt ``` **使用 YARA 扫描文件** ``` yara detection/yara/lazarus_19day_campaign.yar /path/to/scan ``` **将 Sigma 转换为你的 SIEM** ``` sigma convert -t splunk detection/sigma/*.yml sigma convert -t microsoft365defender detection/sigma/*.yml ``` **导入 ATT&CK 层** 1. 打开 [ATT&CK Navigator](https://mitre-attack.github.io/attack-navigator/) 2. **Open Existing Layer**（打开现有图层）> **Upload from local**（从本地上传） 3. 选择 `sharing/attack-navigator/lazarus-19day-layer.json` **将 STIX 导入 OpenCTI** ``` from pycti import OpenCTIApiClient api = OpenCTIApiClient("https://your-opencti", "YOUR_TOKEN") api.stix2.import_bundle_from_file("sharing/stix/lazarus-19day-bundle.json") ``` **使用 Vajra 分析 IOC** ``` vajra essence intel/iocs.json --profile fraud --format markdown vajra invariants intel/iocs.json vajra fingerprint intel/iocs.json ``` ## 来源与工具 | 来源 | 提供内容 | 新鲜度 | |--------|-----------------|-----------| | [VulnGraph](https://vulngraph.tools) | 34.3万个 CVE、EPSS、KEV、漏洞利用、ATT&CK 图 | 实时（< 3 小时） | | GitHub API | 用户资料、仓库、议题、代码搜索 | 实时 | | Web OSINT | 30多份出版物和研究员博客 | 实时 | | [MITRE ATT&CK](https://attack.mitre.org/groups/G0032/) | Lazarus G0032：119 个关联关系 | 季度更新 | | [Red Asgard](https://redasgard.com) | Contagious Interview C2 映射 | 2026年2月 | | [OX Security](https://www.ox.security) | OpenClaw 钓鱼发现及 eleven.js 分析 | 2026年3月 | | [ANY.RUN](https://any.run) | PylangGhost RAT 深度恶意软件分析 | 2026年 | | [Silent Push](https://www.silentpush.com) | 空壳公司识别 | 2025年4月 | | Etherscan | 区块链钱包取证 | 实时 | | [Vajra](tools/vajra-skill.md) | IOC 数据的确定性结构分析 | 本地工具 | ## 使用 Vajra 构建 [Vajra](https://github.com/copyleftdev/vajra) 是一个确定性语义归约引擎，用于分析结构化数据的形状、熵、异常和跨字段关系。本调查全程使用 Vajra，以揭示传统工具遗漏的发现。 ### Vajra 在本次调查中的发现 **恶意软件混淆指纹识别** -- Vajra 将去混淆后的 InvisibleFerret 源代码解析为一个包含 64,462 个节点的 AST，发现 Lazarus 的混淆会产生确定性的结构签名：模式 `1c47174c` 与模式 `04898d6f` 在每个嵌套层级中始终以 2:1 的比例出现。这意味着即使代码完全不可读，vajra 也能仅通过结构指纹识别 Lazarus 家族的恶意软件。 ``` vajra fingerprint invisibleferret.py --input-format source --lang python # Motif 1c47174c：28,314 次出现（任意文件 >10K = 可能是 Lazarus） # Motif 04898d6f：14,576 次出现（比率在所有图层中保持一致） ``` **混淆层漂移** -- Vajra 的 drift 命令测量了 52 个解密载荷阶段的结构演化，揭示每一层虽然增加了深度，但保留了相同的模式比率。第 2 阶段与第 52 阶段之间 0.41 的 Jaccard 相似度量化了混淆的增长程度。 ``` vajra drift stage2.py stage52.py --input-format source --lang python # 相似度：0.41 (Jaccard) | 增加了 95 条路径 | 28 次分布偏移 ``` **活动不变量发现** -- Vajra 的不变量分析证明，所有三波活动都共享完全相同的投递机制（条件熵 H(Y|X) = 0.000），唯一的变量是心理触发机制。贪婪向量最先被重定向至蜜罐；恐惧和野心向量仍处于活跃状态。 ``` vajra invariants intel/iocs.json # delivery -> * ：H(Y|X) = 0.000，强度 = 1.000（不变） # status <-> trigger ：强度 = 0.579（部分依赖） ``` **欺诈画像本质** -- Vajra 的欺诈画像按调查相关性对所有 IOC 字段进行评分和排名，将投递机制不变量和状态关联作为首要发现呈现出来。 ``` vajra essence intel/iocs.json --profile fraud --format markdown ``` **用于篡改检测的结构指纹识别** -- 本仓库中的每个 IOC 数据集都有一个 BLAKE3 指纹。相同的输入始终产生字节一致的输出，使 vajra 适用于证据链和审计追踪。 ``` vajra fingerprint intel/iocs.json # 路径集： bab92e58fae01520af8bab684716465ce09d24e7fe4229754f01f4e68771114a # 类型化路径：dc8144ca6b3b413aaa7241af8b0572c3e554f24688a1f105ba21c1cc3186da73 # 形状： a57191d0797f42c553dceec3cac722e6c0095103635f7ebc935637bd69c0f2b2 ``` ### 安装 Vajra ``` cargo install vajra-cli ``` 或从源代码构建：[github.com/copyleftdev/vajra](https://github.com/copyleftdev/vajra) ## 免责声明与许可证本仓库**专门出于防御性安全目的**发布。它不包含恶意软件、漏洞利用代码、进攻性工具或个人身份信息（PII）。归因评估属于分析判断，而非法律结论。IOC 的有效期有限 —— 封禁前请验证。完整条款请参阅 [`DISCLAIMER.md`](DISCLAIMER.md)。根据 [MIT License](

标签：C2基础设施, CISA项目, DNS信息、DNS暴力破解, ESC8, GitHub滥用, IP 地址批量处理, Lazarus Group, Metaprompt, Nuclei模板, Object Callbacks, RAT, Sigma规则, STIX 2.1, Suricata规则, YARA规则, 区块链取证, 后渗透, 威胁情报, 开发者工具, 开发者攻击, 开源软件供应链安全, 恶意软件, 搜索语句（dork）, 攻击分析, 无线安全, 流量嗅探, 目标导入, 社会工程学, 网络安全审计, 网络钓鱼, 逆向工具, 钱包盗取, 防御性安全