文章总结： TRMLabs报告称，2022年LastPass泄露导致持续至2025年的加密货币盗窃案。攻击者破解弱主密码窃取超3500万美元，经Wasabi及俄罗斯交易所洗钱，确认为俄罗斯网络犯罪所为。该事件凸显弱密码风险及数据泄露长尾效应，LastPass因此被罚款。 综合评分： 82 文章分类： 数据泄露,威胁情报,区块链安全,漏洞分析

LastPass 2022年的数据泄露事件导致长达数年的加密货币盗窃案

会杀毒的单反狗

军哥网络安全读报

2025年12月26日 09:01 湖北

导读

TRM Labs 的最新研究发现，从 2022 年 LastPass 数据泄露事件中被盗的加密保险库备份，使得不法分子能够利用薄弱的主密码破解这些备份，并窃取加密货币资产，最晚可追溯到 2025 年末。

这家区块链情报公司表示，有证据表明俄罗斯网络犯罪分子参与了这项活动，其中一家俄罗斯交易所甚至在 10 月份还收到了与 LastPass 相关的资金。

该评估“基于链上证据的全部——包括与俄罗斯相关基础设施的反复互动、在交易前后活动中的持续控制，以及持续使用高风险的俄罗斯交易所作为退出渠道。”报告补充道。

LastPass在 2022 年遭遇了一次重大黑客攻击，攻击者得以访问其客户的个人信息，包括包含凭据（例如加密货币私钥和助记词）的加密密码库。

本月初，英国信息专员办公室 (ICO) 对这家密码管理服务提供商处以160 万美元的罚款，原因是其未能实施足够强大的技术和安全措施来防止该事件发生。

此次数据泄露事件也促使该公司当时发布警告，指出不法分子可能使用暴力破解技术来猜测主密码并解密被盗的保险库数据。TRM Labs 的最新调查结果显示，网络犯罪分子确实已经这样做了。

该公司表示：“任何使用弱主密码保护的保险库最终都可能在离线状态下被解密，从而将 2022 年的一次入侵变成攻击者可以悄悄破解密码并随着时间的推移窃取资产的多年窗口期。”

“由于用户未能轮换密码或提高保险库安全性，攻击者在多年后仍然能够破解弱主密码——导致钱包资金被盗，这种情况甚至持续到 2025 年末。”

2022 年 LastPass 数据泄露事件中被盗加密货币与俄罗斯的联系主要源于两个因素：一是洗钱过程中使用了通常与俄罗斯网络犯罪生态系统相关的交易所；二是钱包在混合和洗钱过程前后与混合器交互时所建立的运营联系。

已追踪到超过3500万美元被盗的数字资产，其中2800万美元在2024年末至2025年初期间被兑换成比特币并通过Wasabi钱包洗钱。另有700万美元与2025年9月发现的后续一波盗窃案有关。

经查明，被盗资金经由 Cryptomixer.io 流入，并通过 Cryptex 和 Audia6 这两家与非法活动相关的俄罗斯交易所流出。值得一提的是，Cryptex 曾于2024 年 9 月因接收超过 5120 万美元的非法资金（这些资金来源于勒索软件攻击）而受到美国财政部的制裁。

TRM Labs 表示，尽管使用了CoinJoin技术来增加外部观察者追踪资金流向的难度，但他们仍然能够将混合活动分离出来，揭示出集群式提款和剥离链条，从而将混合比特币输送到这两个交易所。

TRM Labs全球政策主管阿里·雷德博德表示：“这清楚地表明，一次数据泄露如何演变成一场持续多年的盗窃活动。即使使用了混合器，操作模式、基础设施的重复利用以及退出机制的行为仍然可以揭示幕后真正的黑手是谁。”

“俄罗斯高风险交易所仍然是全球网络犯罪的重要跳板。此案表明，为什么资金分离和生态系统层面的分析如今已成为归因和执法的重要工具。”

技术报告：

https://www.trmlabs.com/resources/blog/trm-traces-stolen-crypto-from-2022-lastpass-breach-on-chain-indicators-suggest-russian-cybercriminal-involvement

新闻链接：

https://thehackernews.com/2025/12/lastpass-2022-breach-led-to-years-long.html

今日安全资讯速递

APT事件

Advanced Persistent Threat

网络攻击致法国邮政系统瘫痪，邮政和银行服务在法国全国范围内中断

https://www.techrepublic.com/article/news-la-poste-cyberattack/

Evasive Panda APT通过 AitM 和 DNS 投毒进行恶意软件传播

Evasive Panda APT: Malware Delivery via AitM and DNS Poisoning

复杂攻击活动利用武器化的防病毒主题 Word 和 PDF 文档攻击以色列

Israeli Organizations Targeted by AV-Themed Malicious Word and PDF Files

BlindEagle（盲鹰）黑客组织利用 PowerShell 脚本攻击哥伦比亚政府机构

Blind Eagle Hackers Target Government Agencies Using PowerShell Scripts

Arcane Werewolf黑客组织在其武器库中新增了Loki 2.1恶意软件工具包

Arcane Werewolf Hacker Group Added Loki 2.1 Malware Toolkit to their Arsenal

SideWinder APT黑客组织伪装成印度税务部门攻击印度实体

SideWinder APT Hackers Attacking Indian Entities by Masquerading as the Income Tax Department of India

英国外交部遭受网络攻击

https://www.cybermaterial.com/p/uk-foreign-office-suffers-cyber-attack

一般威胁事件

General Threat Incidents

LastPass 2022年的数据泄露事件导致长达数年的加密货币盗窃案

https://thehackernews.com/2025/12/lastpass-2022-breach-led-to-years-long.html

新型 MacSync macOS 窃取工具利用签名应用程序绕过 Apple Gatekeeper 限制

https://thehackernews.com/2025/12/new-macsync-macos-stealer-uses-signed.html

趋势科技警告：“Vibe犯罪”开启人工智能驱动的智能网络犯罪时代

https://www.cysecurity.news/2025/12/trend-micro-warns-vibe-crime-ushers-in.html

WebRAT恶意软件伪装成PoC漏洞利用程序通过GitHub代码库传播

WebRAT Malware via GitHub Repositories Claim as Proof-of-concept Exploits to Attack Users

PCPcat行动在48小时内入侵了超过59000台Next.js/React服务器

Operation PCPcat Hacked 59,000+ Next.js/React Servers Within 48 Hours

罗马尼亚水务局遭遇勒索软件攻击——1000多个IT系统被入侵

Ransomware Attack on Romanian Waters Authority – 1,000+ IT Systems Compromised

利用拼写错误抢注的域名冒充微软激活脚本 (MAS) 工具传播 PowerShell 恶意软件

https://www.bleepingcomputer.com/news/security/fake-mas-windows-activation-domain-used-to-spread-powershell-malware/

漏洞事件

Vulnerability Incidents

五年前的 Fortinet FortiOS SSL VPN 漏洞已被持续利用

Five-year-old Fortinet FortiOS SSL VPN vulnerability actively exploited

M-Files Server 中的一个严重安全漏洞允许攻击者窃取活动用户会话令牌

M-Files Vulnerability Allows Attackers to Steal Active User Session Tokens

NVIDIA Isaac漏洞可导致远程代码执行攻击

NVIDIA Isaac Vulnerabilities Enable Remote Code Execution Attacks

MongoDB警告管理员立即修复严重的远程代码执行漏洞

https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/

微软紧急发布紧急带外更新以修复消息队列 (MSMQ) 漏洞

https://www.theregister.com/2025/12/23/microsoft_fixes_message_queuing_issue/

Windows映像组件漏洞在复杂的攻击场景下可能导致远程代码执行攻击

Windows Imaging Component Vulnerability Can Lead to RCE Attacks Under Complex Attack Scenarios

HPE OneView漏洞（CVE-2025-37164）可实现远程代码执行，PoC已公开

PoC Exploit Released HPE OneView Vulnerability that Enables Remote Code Execution

n8n 严重缺陷（CVSS 9.9）允许在数千个实例中执行任意代码

Critical n8n flaw could enable arbitrary code execution

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《LastPass 2022年的数据泄露事件导致长达数年的加密货币盗窃案》