Nel comunicato stampa "Bybit Uncovers AI-Assisted macOS Malware Campaign Targeting Users Searching for Claude Code", diffuso il 21 aprile 2026 da Bybit tramite PR Newswire, l’azienda ci informa che il titolo e il nono paragrafo sono stati aggiornati. Di seguito il comunicato completo e corretto:
Il team di sicurezza di Bybit potenziato dall'IA scopre una campagna di malware per macOS che prende di mira gli utenti in cerca di Claude Code
DUBAI, Emirati Arabi Uniti, 21 aprile 2026 /PRNewswire/ -- Bybit, il secondo più grande exchange di criptovalute al mondo per volume di scambi, ha comunicato che il suo Security Operations Center (SOC) ha reso noti i risultati di un’approfondita analisi di una sofisticata campagna di malware multi‑fase, che prende di mira utenti macOS alla ricerca di "Claude Code", uno strumento di sviluppo basato sull’IA di Anthropic.
Il rapporto rappresenta una delle prime divulgazioni note, da parte di un exchange di criptovalute centralizzato (CEX), di una campagna di minacce attiva rivolta agli sviluppatori tramite canali di scoperta di strumenti di IA, sottolineando il ruolo crescente del settore nella prima linea dell’intelligence di cybersicurezza.
Identificata per la prima volta nel marzo 2026, la campagna ha utilizzato tecniche di avvelenamento della search engine optimization (SEO) per far salire un dominio malevolo in cima ai risultati di ricerca di Google. Gli utenti venivano reindirizzati a una pagina di installazione falsificata, progettata per assomigliare strettamente alla documentazione legittima, innescando una catena di attacco in due fasi incentrata sul furto di credenziali, sul targeting di asset crittografici e sull’accesso persistente al sistema.
Il payload iniziale, distribuito tramite un dropper Mach‑O, installava un infostealer basato su osascript che mostrava caratteristiche simili a varianti note di AMOS e Banshee. Eseguiva una sequenza di offuscamento in più fasi per estrarre dati sensibili, tra cui credenziali del browser, voci del Portachiavi macOS, sessioni Telegram, profili VPN e informazioni sui wallet di criptovalute. I ricercatori di Bybit hanno identificato tentativi di accesso mirato a oltre 250 estensioni di wallet basati su browser e a numerose applicazioni di wallet desktop.
Un payload di seconda fase introduceva una backdoor in C++ con avanzate capacità di elusione, tra cui il rilevamento di sandbox e configurazioni di runtime crittografate. Il malware stabiliva la persistenza tramite agenti a livello di sistema e consentiva l’esecuzione remota di comandi tramite polling basato su HTTP, garantendo agli aggressori un controllo continuativo sui dispositivi compromessi.
Il SOC di Bybit ha sfruttato flussi di lavoro assistiti dall’IA lungo l’intero ciclo di analisi del malware, accelerando in modo significativo i tempi di risposta pur mantenendo una profonda capacità analitica. La triage iniziale e la classificazione del campione Mach‑O sono state completate in pochi minuti, con i modelli che segnalavano somiglianze comportamentali con famiglie di malware note.
L’ingegneria inversa assistita dall’IA e l’analisi del flusso di controllo hanno ridotto il tempo necessario per l’ispezione approfondita della backdoor di seconda fase da una stima di sei‑otto ore a meno di 40 minuti. Al contempo, pipeline automatiche di estrazione hanno identificato indicatori di compromissione (IOC) – tra cui infrastrutture di comando e controllo, firme di file e pattern comportamentali – mappandoli su framework di minacce consolidati.
Queste capacità hanno consentito il rilascio di misure di rilevamento nello stesso giorno. La generazione di regole assistita dall’IA ha supportato la creazione di firme di minaccia e regole di rilevamento sugli endpoint, che gli analisti hanno convalidato prima della distribuzione negli ambienti di produzione. Bozze di report generate dall’IA hanno ulteriormente ridotto i tempi di lavorazione, permettendo di finalizzare i prodotti di threat intelligence con una rapidità circa del 70% superiore rispetto ai flussi di lavoro tradizionali.
«In qualità di uno dei primi exchange di criptovalute a documentare pubblicamente questo tipo di campagna di malware, riteniamo che condividere questi risultati sia fondamentale per rafforzare la difesa collettiva in tutto il settore», ha dichiarato David Zong, Head of Group Risk Control and Security di Bybit. «Il nostro SOC assistito dall’IA ci consente di passare dal rilevamento alla piena visibilità della kill chain all’interno di una singola finestra operativa. Ciò che prima richiedeva a un team di analisti di lavorare su più turni – decompilazione, estrazione degli IOC, stesura dei report, scrittura delle regole – è stato completato in una singola sessione, con l’IA a svolgere il lavoro più gravoso e i nostri analisti a fornire giudizio e validazione. Guardando al futuro, dovremo affrontare una guerra basata sull’IA. Usare l’IA per difendersi dall’IA è una tendenza inevitabile. Bybit aumenterà ulteriormente i suoi investimenti nell’IA per la sicurezza, raggiungendo un rilevamento delle minacce a livello di minuti e una risposta di emergenza automatizzata e intelligente».
L’indagine ha inoltre rivelato tattiche di social engineering, tra cui falsi prompt di password di macOS utilizzati per convalidare e memorizzare nella cache le credenziali degli utenti. In alcuni casi, gli aggressori hanno tentato di sostituire applicazioni di wallet crittografici legittime, come Ledger Live e Trezor Suite, con versioni trojanizzate ospitate su infrastrutture malevole.
Il malware ha preso di mira una vasta gamma di ambienti, tra cui browser basati su Chromium, varianti di Firefox, dati di Safari, Note di Apple e directory di file locali comunemente utilizzate per archiviare dati finanziari o di autenticazione sensibili.
Bybit ha identificato numerosi domini e endpoint di comando e controllo associati alla campagna, tutti resi inoffensivi per la divulgazione pubblica. L’analisi indica che gli aggressori si sono affidati a polling HTTP intermittente piuttosto che a connessioni persistenti, rendendo il rilevamento più impegnativo.
L’incidente riflette una tendenza crescente di aggressori che prendono di mira gli sviluppatori tramite risultati di ricerca manipolati, soprattutto man mano che gli strumenti di IA vengono adottati dal grande pubblico. Gli sviluppatori restano obiettivi di alto valore a causa del loro accesso a codebase, infrastrutture e sistemi finanziari.
Bybit ha confermato che l’infrastruttura malevola è stata identificata il 12 marzo e che l’analisi completa, le attività di mitigazione e le misure di rilevamento sono state portate a termine nell’arco della stessa giornata. La divulgazione pubblica è seguita il 20 marzo, insieme a dettagliate linee guida di rilevamento.
#Bybit / #CryptoArk / #NewFinancialPlatform
Informazioni su Bybit
Bybit è il secondo più grande exchange di criptovalute al mondo per volume di scambi, e serve una comunità globale di oltre 80 milioni di utenti. Fondata nel 2018, Bybit sta ridefinendo l’apertura nel mondo decentralizzato creando un ecosistema più semplice, aperto ed egualitario per tutti. Con una forte attenzione al Web3, Bybit collabora strategicamente con i principali protocolli blockchain per fornire un’infrastruttura solida e promuovere l’innovazione on‑chain. Noto per la custodia sicura, i mercati diversificati, l’esperienza utente intuitiva e gli avanzati strumenti blockchain, Bybit colma il divario tra TradFi e DeFi, consentendo a builder, creator ed entusiasti di sbloccare il pieno potenziale del Web3. Scopri il futuro della finanza decentralizzata su Bybit.com.
Per maggiori dettagli su Bybit, visita Bybit Press
Per richieste dei media, contatta: [email protected]
Per aggiornamenti, segui: Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
