十轮网

电子邮件营销公司MailChimp在3月下旬遭到黑客入侵，黑客访问了该公司的内部工具，进而取得MailChimp客户的API密钥，借由MailChimp营销平台锁定加密货币企业展开网络钓鱼攻击，加密货币硬件钱包企业Trezor已确定受到牵连，多名Trezor用户在不知情的状况下交出了自己的助记词（Seed Words），而让黑客盗转了他们的加密货币。

MailChimp向《BleepingComputer》与《TechCrunch》透露，黑客是先针对该公司员工进行社交工程攻击，借由所取得的员工凭证在3月26日访问了客服及账号管理团队所使用的内部工具，之后访问了319个MailChimp客户的账号，并导出其中102个客户的用户名单，同时取得了部分客户的API密钥，黑客即可通过这些API密钥广发营销邮件。

目前至少确定Trezor的API密钥遭黑客盗用，因为黑客假借Trezor的名义发送了网络钓鱼邮件给用户，在邮件中宣称Trezor发生安全意外，要求用户下载最新的Trezor Suite软件版本并重设PIN码。

图片来源／Life in DeFion twitter

然而，当Trezor用户下载并安装该软件时，它会要求用户输入助记词（Seed Words），由于助记词是在钱包毁损时用以恢复或重新访问钱包的重要依据，一旦用户交出助记词，黑客便得以盗转钱包中的所有加密资产。由于黑客不仅采用Trezor的官方图标，也创建了与Trezor几乎一样的网络钓渔网站，而让许多用户信以为真。

纵使MailChimp很快就变更及终止被盗用的员工凭证与API密钥，且Trezor也采取行动以关闭这些网络钓渔网站，但已有用户受害，而且可能还有其它的MailChimp客户受害。

这起意外属于供应链攻击，黑客借由营销平台广发容易令人信以为真的网络钓鱼邮件，如同日前黑客于Discord上多个NFT项目的官方社群发布消息一样，另外值得注意的是，身份窃盗所能造成的灾害已越来越严重，例如Lapsus$黑客集团已借由该手法成功入侵Nvidia、三星、Okta与微软，盗走这些知名企业的机密资料并向它们勒索。