LastPass用户警惕新型钓鱼攻击：黑客利用遗产功能窃取通行密钥

10月25日，有安全研究发现，密码管理服务LastPass正提醒用户防范一起由黑客组织CryptoChameleon发起的新型网络钓鱼活动。该攻击最早可追溯至10月中旬，主要利用了LastPass的“遗产继承”功能实施欺诈。

部分案例显示，攻击者还采取电话辅助手段，冒充官方人员主动联系受害者，引导其在钓鱼页面中输入敏感信息，形成多层欺骗闭环。

相较于今年4月的类似攻击，此次行动覆盖范围更广，技术手段也更为复杂。值得注意的是，攻击目标已不再局限于传统密码，而是扩展至新兴的“通行密钥”（Passkeys）认证机制。安全分析发现，攻击者注册了如mypasskey[.]info和passkeysetup[.]com等专用域名，专门用于诱骗用户泄露通行密钥，反映出黑客组织正在快速适应新技术环境，对当前被认为更安全的无密码方案发起直接挑战。

该黑客组织又名UNC5356，长期以获取经济利益为目的，擅长使用钓鱼工具包针对高价值账户进行攻击。此前曾通过伪造Okta、Gmail、iCloud等主流服务的登录页面，成功渗透多个加密货币平台用户账户，具备较强的攻击能力和持续演化特征。