黑客通过“面试”从Axie Infinity窃取6.2亿美元

近日，根据The Block的报道，朝鲜黑客通过“面试”目标企业员工的方式从全球最热门的加密货币游戏Axie Infinity窃取了6.2亿美元加密货币。

这次鱼叉式钓鱼攻击发生在2022年3月，给Axie Infinity的开发商，风头正劲的Sky Mavis带来了灭顶之灾。

Axie Infinity一度风光无限，在鼎盛时期，东南亚的工人甚至能够通过这个“玩着赚钱”的游戏谋生。去年11月，Axie Infinity的游戏内NFT拥有270万日活跃用户和2.14亿美元的每周交易量——遭攻击后这两个数字都大幅下降。

2022年4月，FBI将这次攻击与朝鲜黑客组织Lazarus和APT38黑客联系起来，声称这两个组织经常窃取加密货币，但并未公布攻击细节。

根据The Block近日的独家报道，了解此次攻击的消息人士称，黑客伪造了一家公司，并冒充雇主通过LinkedIn以高薪招聘的名义联系了Sky Mavis的一位高级工程师。

面对诱人的高薪，Axie Infinity的这位高级工程师对“工作机会”表现出兴趣，并经历了多轮“面试”。

在其中一次“面试”中，工程师收到了一份PDF文件，其中包含有关工作的详细信息。然而，该文件为黑客打开了进入Ronin区块链系统（支撑Axie Infinity的NFT在线视频游戏的以太坊侧链）的入口。

该员工在公司的计算机上下载并打开了文件，启动了一个感染链，使黑客能够侵入Ronin系统并控制了四个令牌验证器和一个Axie DAO验证器。

根据该Sky Mavis的事件调查报告，成为鱼叉式网络钓鱼攻击受害者的员工已被解雇。然而，经济损失是如此严重，以至于Sky Mavis仍在赔偿受黑客攻击影响的玩家。

利用网络招聘平台实施鱼叉式钓鱼攻击已经不是新鲜事。

去年，谷歌Theat Analysis Group的一份报告指出，一个朝鲜黑客组织在通过包括LinkedIn在内的各种社交平台与安全研究人员接触，以定制恶意软件为目标。

2020年夏天，Lazarus组织的成员使用虚假工作机会针对性攻击了至少14个国家的加密货币组织的员工。

Cyphere一年前发布的研究表明，任何人都很容易就能在LinkedIn上代表公司发布工作机会。

参考链接：

https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game

来源：@GoUpSec