En la nota de prensa, «Bybit Uncovers AI-Assisted macOS Malware Campaign Targeting Users Searching for Claude Code», emitida el 21 de abril de 2026 por Bybit a través de PR Newswire, la empresa informa de que el titular y el noveno párrafo han sido actualizados. El comunicado completo y corregido es el siguiente:
El equipo de seguridad de Bybit, potenciado por IA, descubre una campaña de malware para macOS dirigida a usuarios que buscan Claude Code
DUBÁI, EAU, 21 de abril de 2026 /PRNewswire/ -- Bybit, el segundo mayor exchange de criptomonedas del mundo por volumen de negociación, informó de que su Centro de Operaciones de Seguridad (SOC) reveló hallazgos que detallan una sofisticada campaña de malware de múltiples etapas dirigida a usuarios de macOS que buscan «Claude Code», una herramienta de desarrollo impulsada por IA de Anthropic.
El informe marca una de las primeras divulgaciones conocidas por parte de un exchange de criptomonedas centralizado (CEX) de una campaña de amenazas activa que apunta a desarrolladores a través de canales de descubrimiento de herramientas de IA, lo que subraya el creciente papel del sector en la inteligencia de ciberseguridad en primera línea.
Identificada por primera vez en marzo de 2026, la campaña utilizó envenenamiento de optimización para motores de búsqueda (SEO) para elevar un dominio malicioso a la parte superior de los resultados de búsqueda de Google. Los usuarios eran redirigidos a una página de instalación falsificada diseñada para parecerse estrechamente a la documentación legítima, lo que desencadenaba una cadena de ataque en dos etapas centrada en el robo de credenciales, el robo de criptoactivos y el acceso persistente al sistema.
La carga útil inicial, entregada a través de un «dropper» Mach-O, desplegó un «infostealer» basado en osascript que mostraba características similares a variantes conocidas de AMOS y Banshee. Ejecutó una secuencia de ofuscación en varias fases para extraer datos sensibles, incluidos credenciales del navegador, entradas del llavero de macOS, sesiones de Telegram, perfiles de VPN e información de monederos de criptomonedas. Los investigadores de Bybit identificaron intentos de acceso dirigidos contra más de 250 extensiones de monederos basados en navegador y múltiples aplicaciones de monedero de escritorio.
Una segunda carga útil introdujo una puerta trasera basada en C++ con capacidades avanzadas de evasión, incluidas detección de sandbox y configuraciones cifradas en tiempo de ejecución. El malware estableció persistencia mediante agentes a nivel de sistema y permitió la ejecución remota de comandos a través de sondeos HTTP, otorgando a los atacantes control continuo sobre los dispositivos comprometidos.
El SOC de Bybit aprovechó flujos de trabajo asistidos por IA a lo largo de todo el ciclo de vida del análisis de malware, acelerando significativamente el tiempo de respuesta sin perder profundidad analítica. La triaje inicial y la clasificación de la muestra Mach-O se completaron en cuestión de minutos, con modelos que señalaban similitudes de comportamiento con familias de malware conocidas.
El análisis asistido por IA de ingeniería inversa y de flujo de control redujo el tiempo necesario para la inspección profunda de la puerta trasera de segunda etapa de entre seis y ocho horas a menos de 40 minutos. Al mismo tiempo, los canales automatizados de extracción identificaron indicadores de compromiso (IOC), incluida infraestructura de mando y control, firmas de archivos y patrones de comportamiento, y los mapearon a marcos de amenazas establecidos.
Estas capacidades permitieron el despliegue de medidas de detección el mismo día. La generación de reglas asistida por IA apoyó la creación de firmas de amenazas y reglas de detección en endpoints, que los analistas validaron antes de ser implementadas en entornos de producción. Los borradores de informes generados por IA redujeron aún más los plazos, lo que permitió que los productos de inteligencia de amenazas se finalizaran aproximadamente un 70 % más rápido que con flujos de trabajo tradicionales.
«Como uno de los primeros exchanges de criptomonedas en documentar públicamente este tipo de campaña de malware, creemos que compartir estos hallazgos es fundamental para fortalecer la defensa colectiva en toda la industria», dijo David Zong, director de Control de Riesgos del Grupo y Seguridad en Bybit. «Nuestro SOC asistido por IA nos permite pasar de la detección a la visibilidad completa de la kill chain en una sola ventana operativa. Lo que antes requería un equipo de analistas trabajando en varios turnos —descompilación, extracción de IOC, redacción de informes, creación de reglas— se completó en una sola sesión, con la IA realizando la mayor parte del trabajo pesado y nuestros analistas aportando criterio y validación. De cara al futuro, nos enfrentaremos a una guerra de IA. Usar IA para defenderse de la IA es una tendencia inevitable. Bybit incrementará aún más su inversión en IA para seguridad, logrando detección de amenazas a nivel de minutos y respuesta de emergencia automatizada e inteligente».
La investigación también reveló tácticas de ingeniería social, incluidas falsas solicitudes de contraseña de macOS utilizadas para validar y almacenar en caché las credenciales de los usuarios. En algunos casos, los atacantes intentaron reemplazar aplicaciones legítimas de monederos de criptomonedas como Ledger Live y Trezor Suite por versiones troyanizadas alojadas en infraestructura maliciosa.
El malware apuntó a una amplia gama de entornos, incluidos navegadores basados en Chromium, variantes de Firefox, datos de Safari, Notas de Apple y directorios de archivos locales que se usan habitualmente para almacenar datos financieros o de autenticación sensibles.
Bybit identificó múltiples dominios y puntos de mando y control asociados con la campaña, todos los cuales han sido neutralizados para su divulgación pública. El análisis indica que los atacantes confiaban en sondeos HTTP intermitentes en lugar de conexiones persistentes, lo que dificulta su detección.
El incidente refleja una tendencia creciente de atacantes que apuntan a desarrolladores mediante resultados de búsqueda manipulados, especialmente a medida que las herramientas de IA se adoptan de forma generalizada. Los desarrolladores siguen siendo objetivos de alto valor debido a su acceso a bases de código, infraestructura y sistemas financieros.
Bybit confirmó que la infraestructura maliciosa se identificó el 12 de marzo, y que el análisis completo, la mitigación y las medidas de detección se completaron ese mismo día. La divulgación pública se produjo el 20 de marzo, junto con una guía detallada de detección.
#Bybit / #CryptoArk / #NewFinancialPlatform
Acerca de Bybit
Bybit es el segundo mayor exchange de criptomonedas del mundo por volumen de negociación, y presta servicio a una comunidad global de más de 80 millones de usuarios. Fundada en 2018, Bybit está redefiniendo la apertura en el mundo descentralizado creando un ecosistema más simple, abierto e igualitario para todos. Con un fuerte enfoque en Web3, Bybit se asocia estratégicamente con los principales protocolos de blockchain para proporcionar una infraestructura sólida e impulsar la innovación on-chain. Reconocida por su custodia segura, mercados diversos, experiencia de usuario intuitiva y herramientas avanzadas de blockchain, Bybit cierra la brecha entre las finanzas tradicionales (TradFi) y las finanzas descentralizadas (DeFi), permitiendo a desarrolladores, creadores y entusiastas desbloquear todo el potencial de Web3. Descubra el futuro de las finanzas descentralizadas en Bybit.com.
Para más detalles sobre Bybit, visite Bybit Press
Para consultas de prensa, póngase en contacto con: [email protected]
Para mantenerse al día, siga: Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
