2026年4月21日,全球交易量第二大的加密货币交易平台Bybit发布报告,披露其安全运营中心侦测并应对了一起高度复杂、分阶段实施的恶意软件活动。此次攻击精准锁定在搜索Anthropic公司推出的AI编程助手Claude Code的macOS用户群体。
该威胁最早于2026年3月被发现,攻击者采用精心设计的搜索引擎优化投毒技术,将一个伪造域名推至谷歌搜索结果前列。当用户点击链接时,会被引导至外观极似官方文档的仿冒页面,进而触发两阶段攻击流程,目标直指用户身份凭证、加密资产及系统持久控制权。
初始载荷通过Mach-O释放器注入系统,激活一个基于osascript的隐蔽信息采集程序,其行为特征与已知的AMOS和Banshee家族变种高度一致。该组件执行多重混淆操作,用于提取浏览器登录凭据、macOS钥匙串数据、Telegram聊天记录、VPN配置以及多个桌面钱包中的私钥信息。研究确认攻击者曾尝试访问超过250个主流浏览器钱包扩展插件与多种独立钱包应用。
第二阶段部署的是基于C++构建的高级后门,具备动态加密运行时配置与沙箱检测机制。该恶意程序通过系统级代理建立持久化驻留,并采用间歇性HTTP轮询方式接收指令,支持远程命令执行,从而实现对受感染设备的长期控制。
在整个调查周期中,Bybit安全团队采用集成式AI工作流,显著提升威胁响应效率。对首个Mach-O样本的初步分类仅耗时数分钟,AI模型即识别出其与已知恶意家族的行为共性。借助AI驱动的逆向工程与控制流分析,第二阶段后门的深度解析时间从原预计的6至8小时压缩至40分钟内完成。
自动化管道同步提取指挥控制基础设施、文件数字签名及行为模式等入侵指标,并映射至现有威胁框架。相关检测规则在当日完成验证并投入生产环境。此外,AI生成的报告初稿大幅缩短了情报输出周期,使整体威胁响应速度相较传统流程提升约70%。
集团风险控制与安全负责人表示:“作为首批主动披露此类针对性攻击的中心化交易所之一,我们坚信共享情报是强化行业防线的关键。我们的AI赋能安全运营中心实现了从威胁发现到全链路可视化的完整闭环。”
过去需跨班次完成的反编译、指标提取、报告撰写与规则编写任务,如今可在单次会话中由分析师主导、AI承担繁重计算完成。展望未来,‘以AI对抗AI’将成为必然路径。我们将持续加大在安全领域的人工智能投入,目标是达成分钟级威胁识别与全自动、智能化应急响应能力。”
调查显示,攻击者使用虚假macOS密码弹窗进行凭证验证与缓存,部分案例中甚至尝试以木马化版本替换合法的加密货币钱包应用,进一步增加用户识别难度。
该恶意软件影响范围涵盖Chromium系浏览器、Firefox衍生品、Safari数据、Apple Notes内容,以及通常存放敏感财务与身份信息的本地文件夹路径。
研究人员已确认并处理多个关联域名与指挥控制节点,所有信息均已完成无害化处理并对外披露。分析显示,攻击者依赖非持久连接的间歇性轮询机制,增加了实时检测的复杂性。
此事件凸显攻击者正日益利用搜索引擎优化手段,针对开发者群体展开定向攻击。随着AI开发工具普及,开发者所掌控的代码库、云资源与金融账户使其成为高价值目标,相关威胁将持续上升。
恶意基础设施于3月12日被识别,同日完成全面分析、缓解措施部署与检测规则发布。详细应对指引已于3月20日随事件通报一同对外提供。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.