Bybit, il secondo exchange di criptovalute al mondo per volume di trading, ha segnalato che il suo Security Operations Center (SOC) ha divulgato risultati che descrivono in dettaglio una sofisticata campagna di malware multi‑fase rivolta agli utenti macOS che cercano "Claude Code", uno strumento di sviluppo basato su IA di Anthropic.
Il rapporto rappresenta una delle prime divulgazioni note da parte di un exchange di criptovalute centralizzato (CEX) su una campagna di minacce attiva che prende di mira gli sviluppatori tramite canali di scoperta di strumenti di IA, sottolineando il ruolo crescente del settore nella prima linea dell’intelligence di cybersecurity.
Identificata per la prima volta nel marzo 2026, la campagna ha utilizzato tecniche di avvelenamento della SEO (Search Engine Optimization) per far salire un dominio malevolo ai primi posti dei risultati di ricerca di Google. Gli utenti venivano reindirizzati a una pagina di installazione contraffatta progettata per assomigliare da vicino alla documentazione legittima, innescando una catena di attacco in due fasi focalizzata sul furto di credenziali, sul targeting di asset in criptovalute e sull’accesso persistente al sistema.
Il payload iniziale, consegnato tramite un dropper Mach‑O, distribuiva un infostealer basato su osascript che mostrava caratteristiche simili a varianti note di AMOS e Banshee. Eseguiva una sequenza di offuscamento multi‑fase per estrarre dati sensibili tra cui credenziali del browser, voci del Portachiavi macOS, sessioni Telegram, profili VPN e informazioni sui wallet di criptovalute. I ricercatori di Bybit hanno identificato tentativi di accesso mirato a oltre 250 estensioni di wallet basati su browser e a più applicazioni desktop di wallet.
Un payload di seconda fase introduceva una backdoor basata su C++ con avanzate capacità di evasione, tra cui rilevamento della sandbox e configurazioni runtime criptate. Il malware stabiliva la persistenza tramite agenti a livello di sistema e abilitava l’esecuzione remota di comandi tramite polling basato su HTTP, concedendo agli attaccanti un controllo continuativo sui dispositivi compromessi.
Il SOC di Bybit ha sfruttato flussi di lavoro assistiti da IA lungo l’intero ciclo di analisi del malware, accelerando in modo significativo i tempi di risposta pur mantenendo una profondità analitica elevata. Il triage iniziale e la classificazione del campione Mach‑O sono stati completati in pochi minuti, con i modelli che segnalavano somiglianze comportamentali con famiglie di malware già note.
L’ingegneria inversa assistita da IA e l’analisi del flusso di controllo hanno ridotto il tempo necessario per un’ispezione approfondita della backdoor di seconda fase da sei‑otto ore stimate a meno di 40 minuti. Allo stesso tempo, pipeline di estrazione automatizzate hanno identificato gli indicatori di compromissione (IOC) – tra cui infrastrutture di command‑and‑control, firme di file e pattern comportamentali – mappandoli a framework di minaccia consolidati.
Queste capacità hanno reso possibile il rilascio, nello stesso giorno, delle misure di rilevamento. La generazione di regole assistita da IA ha supportato la creazione di firme di minaccia e regole di rilevamento sugli endpoint, che gli analisti hanno convalidato prima della distribuzione negli ambienti di produzione. Le bozze di report generate dall’IA hanno ridotto ulteriormente i tempi, consentendo di finalizzare gli output di threat intelligence circa il 70% più velocemente rispetto ai flussi di lavoro tradizionali.
"In quanto uno dei primi exchange di criptovalute a documentare pubblicamente questo tipo di campagna di malware, riteniamo che condividere queste scoperte sia fondamentale per rafforzare la difesa collettiva in tutto il settore", ha dichiarato David Zong, Head of Group Risk Control and Security at Bybit. "Il nostro SOC assistito da IA ci permette di passare dal rilevamento alla piena visibilità sulla kill chain all’interno di una singola finestra operativa. Ciò che prima richiedeva un team di analisti al lavoro su più turni – decompilazione, estrazione degli IOC, redazione dei report, scrittura delle regole – è stato completato in una singola sessione, con l’IA a svolgere il lavoro più pesante e i nostri analisti a fornire giudizio e validazione."
L’indagine ha inoltre rivelato tattiche di social engineering, tra cui falsi prompt per la password di macOS utilizzati per convalidare e memorizzare in cache le credenziali degli utenti. In alcuni casi, gli attaccanti hanno tentato di sostituire applicazioni legittime di wallet di criptovalute come Ledger Live e Trezor Suite con versioni trojanizzate ospitate su infrastrutture malevole.
Il malware ha preso di mira un’ampia gamma di ambienti, inclusi browser basati su Chromium, varianti di Firefox, dati di Safari, Note di Apple e directory di file locali comunemente utilizzate per archiviare dati sensibili di natura finanziaria o di autenticazione.
Bybit ha identificato più domini e endpoint di command‑and‑control associati alla campagna, tutti resi innocui ai fini della divulgazione pubblica. L’analisi indica che gli attaccanti si sono affidati a polling HTTP intermittente piuttosto che a connessioni persistenti, rendendo il rilevamento più impegnativo.
L’incidente riflette una tendenza crescente di attacchi che prendono di mira gli sviluppatori tramite risultati di ricerca manipolati, in particolare mentre gli strumenti di IA diventano sempre più adottati dal grande pubblico. Gli sviluppatori restano obiettivi di alto valore a causa del loro accesso a codebase, infrastrutture e sistemi finanziari.
Bybit ha confermato che l’infrastruttura malevola è stata identificata il 12 marzo, con analisi completa, mitigazione e misure di rilevamento completate nello stesso giorno. La divulgazione pubblica è seguita il 20 marzo, insieme a linee guida dettagliate per il rilevamento.
#Bybit / #CryptoArk / #NewFinancialPlatform
Informazioni su Bybit
Bybit è il secondo exchange di criptovalute al mondo per volume di trading e serve una comunità globale di oltre 80 milioni di utenti. Fondata nel 2018, Bybit sta ridefinendo la trasparenza nel mondo decentralizzato creando un ecosistema più semplice, aperto ed equo per tutti. Con un forte focus sul Web3, Bybit collabora strategicamente con i principali protocolli blockchain per fornire infrastrutture robuste e promuovere l’innovazione on‑chain. Rinomata per la sua custodia sicura, i marketplace diversificati, l’esperienza utente intuitiva e gli strumenti blockchain avanzati, Bybit colma il divario tra TradFi e DeFi, consentendo a builder, creator e appassionati di sbloccare tutto il potenziale del Web3. Scopri il futuro della finanza decentralizzata su Bybit.com.
Per maggiori dettagli su Bybit, visita Bybit Press
Per richieste dei media, contatta: [email protected]
Per gli aggiornamenti, segui: Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
