

近期网络安全机构披露多起针对加密货币相关群体的定向攻击事件。卡巴斯基发现名为OkoBot的新型恶意软件框架,其融合社会工程策略与数据窃取功能,专为劫持加密资产而设计。与此同时,慢雾科技揭示另一波以领英为渠道的入侵活动——攻击者伪装成技术招聘方,诱导开发者在面试前运行恶意代码仓库,实现隐蔽感染。
OkoBot的核心功能在于从受感染设备中提取与加密货币直接相关的敏感数据,包括钱包文件、浏览器缓存、登录凭据以及扩展程序活动记录。该框架自2026年1月起已多次出现,系此前名为TookPS的攻击行动演进而来。其通信机制采用SSH隧道传输所有有效载荷,使攻击者能远程操控并动态调整攻击策略,显著提升信息获取效率与隐蔽性。
卡巴斯基指出,初始入侵常借助“ClickFix”类诱骗手段或特洛伊化GitHub应用,诱导用户执行有害指令。一旦系统被控制,该框架可捕获钱包界面操作、注入恶意扩展,并通过屏幕截图或会话监听完成资产盗取。对于普通投资者而言,风险不仅来自钱包被访问,更在于浏览器认证数据可能被用于快速接管账户或发起转账。
与传统静态传播模式不同,OkoBot通过建立基于SSH的多节点隧道架构,协调多达20个独立有效载荷的执行。这种设计赋予攻击者高度可控性,可根据每个主机的实际情况实时调整后续行为。该机制使得攻击过程更具适应性,且能绕过部分网络检测,确保关键数据稳定回传至攻击者服务器。此特征表明,攻击者正逐步将恶意软件升级为可调度、可响应的远程控制系统。
慢雾科技报告揭示了一种高仿真的社会工程攻击方式:攻击者在领英平台以正规技术岗位名义接触潜在开发者,随后发送伪装成“最小可行产品”的恶意GitHub仓库。这些项目被包装为面试前必做的代码测试任务,模拟真实开发工作流,从而降低受害者警惕。由于开发者习惯于拉取、安装和启动外部代码,此类操作极易在无意识中触发恶意脚本执行。
最终目的并非仅限于单点数据窃取,而是部署完整远程访问木马,全面掌控受害者的开发环境。攻击者借此获取项目私钥、云服务凭证及钱包扩展配置信息,进而破坏整个项目的安全性。慢雾科技强调,此类手法是当前攻击趋势的延续——即利用招聘、代码审查与协作流程等日常环节作为攻击入口。尤其在开发者最易放松戒备的“准备面试”阶段,恶意代码更容易获得执行许可。
面对日益复杂的入侵路径,专家建议加强对于第三方代码来源的审核机制,尤其是在涉及面试任务或临时项目时。无论是个人投资者还是专业开发者,都应警惕看似合规的操作背后隐藏的风险。攻击者正系统性地结合身份伪装与可信流程,意图在不引发怀疑的情况下获取对钱包与系统的核心访问权,这标志着加密生态安全防护进入全新挑战期。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.