Lazarus Group 通过社会工程学攻击窃取 CoinsPaid 3700万美元

ChainCatcher 消息，黑客组织 Lazarus Group 通过 6 个月的社会工程学攻击窃取总部位于爱沙尼亚的加密支付提供商 CoinsPaid 3700 万美元。 CoinsPaid 表示，今年 3 月份，CoinsPaid 的工程师收到一份关于技术基础设施的问题清单，这些问题来自一家所谓的“乌克兰加密处理初创公司”。6 月和 7 月间，工程师们收到了虚假的工作邀约。

CoinsPaid 在报告中表示，7 月 22 日，一名员工以为正在面试一份收入丰厚的工作，于是下载了恶意软件，作为所谓技术测试的一部分。黑客组织已经花费 6 个月时间了解 CoinsPaid，包括团队成员、公司的结构等所有可能的细节。当该员工下载恶意代码时，黑客就可以访问 CoinsPaid 的系统，然后利用软件漏洞成功伪造授权请求，从 CoinsPaid 热钱包中提取资金。