Bybit, ‘s werelds op één na grootste cryptocurrencybeurs naar handelsvolume, meldde dat het Security Operations Center (SOC) bevindingen heeft bekendgemaakt over een geavanceerde, meerfasige malwarecampagne die zich richt op macOS-gebruikers die zoeken naar “Claude Code”, een door AI aangedreven ontwikkeltool van Anthropic.
Het rapport geldt als een van de eerste bekende openbaarmakingen door een gecentraliseerde cryptobeurs (CEX) van een actieve dreigingscampagne die ontwikkelaars viseert via AI-tool-ontdekkingskanalen, en onderstreept de groeiende rol van de sector in frontline-cybersecurity-inlichtingen.
De campagne, die voor het eerst werd geïdentificeerd in maart 2026, maakte gebruik van search engine optimization (SEO) poisoning om een kwaadaardig domein naar de top van de Google-zoekresultaten te tillen. Gebruikers werden omgeleid naar een nagemaakte installatiepagina die sterk leek op legitieme documentatie, wat een tweefasige aanvalsketen activeerde die zich richtte op het stelen van inloggegevens, het aanvallen van cryptoactiva en het verkrijgen van blijvende systeemtoegang.
De initiële payload, afgeleverd via een Mach-O-dropper, zette een op osascript gebaseerde infostealer uit die kenmerken vertoonde die vergelijkbaar zijn met bekende AMOS- en Banshee-varianten. Hij voerde een meerfasige verdoezelingssequentie uit om gevoelige gegevens te extraheren, waaronder browserreferenties, macOS Keychain-items, Telegram-sessies, VPN-profielen en informatie over cryptocurrency-wallets. Onderzoekers van Bybit identificeerden gerichte toegangspogingen tegen meer dan 250 browsergebaseerde wallet-extensies en meerdere desktopwallet-applicaties.
Een tweede payload introduceerde een C++-gebaseerde backdoor met geavanceerde omzeilingsmogelijkheden, waaronder sandbox-detectie en versleutelde runtimeconfiguraties. De malware vestigde persistentie via systeemagents en maakte externe commando-uitvoering mogelijk via HTTP-gebaseerde polling, waardoor aanvallers blijvende controle kregen over gecompromitteerde apparaten.
Het SOC van Bybit maakte gebruik van AI-ondersteunde werkstromen gedurende de volledige malwareanalyselevenscyclus, waardoor de responstijd aanzienlijk werd versneld terwijl de analytische diepgang behouden bleef. De eerste triage en classificatie van het Mach-O-sample werden binnen enkele minuten voltooid, waarbij modellen gedragsmatige overeenkomsten met bekende malwarefamilies markeerden.
AI-ondersteunde reverse-engineering en control-flowanalyse verkortten de tijd die nodig was voor diepgaande inspectie van de tweedefasebackdoor van geschat zes tot acht uur naar minder dan 40 minuten. Tegelijkertijd identificeerden geautomatiseerde extractiepijplijnen indicators of compromise (IOC’s) – waaronder command-and-control-infrastructuur, bestandssignaturen en gedragspatronen – en koppelden die aan gevestigde dreigingskaders.
Deze mogelijkheden maakten implementatie van detectiemaatregelen op dezelfde dag mogelijk. AI-ondersteunde regelgeneratie ondersteunde het opstellen van dreigingshandtekeningen en endpoint-detectieregels, die door analisten werden gevalideerd voordat ze in productieomgevingen werden uitgerold. Door AI gegenereerde rapportontwerpen verkortten de doorlooptijd verder, waardoor threat-intelligenceproducten ongeveer 70% sneller konden worden afgerond dan met traditionele werkstromen.
“Als een van de eerste cryptobeurzen die dit type malwarecampagne publiekelijk documenteren, vinden we dat het delen van deze bevindingen cruciaal is om de collectieve verdediging in de sector te versterken,” zei David Zong, Head of Group Risk Control and Security bij Bybit. “Ons AI-ondersteunde SOC stelt ons in staat om binnen één operationeel venster te gaan van detectie naar volledige zichtbaarheid van de kill chain. Wat vroeger een team van analisten vereiste dat in meerdere ploegen werkte – decompilatie, IOC-extractie, rapportopstelling, regelontwikkeling – werd nu in één sessie voltooid, waarbij AI het zware werk deed en onze analisten zorgden voor oordeel en validatie.”
Het onderzoek bracht ook social-engineeringtactieken aan het licht, waaronder vervalste macOS-wachtwoordprompts die werden gebruikt om gebruikersreferenties te valideren en te cachen. In sommige gevallen probeerden aanvallers legitieme cryptowallet-applicaties zoals Ledger Live en Trezor Suite te vervangen door getrojaniseerde versies die werden gehost op kwaadaardige infrastructuur.
De malware richtte zich op een breed scala aan omgevingen, waaronder op Chromium gebaseerde browsers, Firefox-varianten, Safari-gegevens, Apple Notes en lokale bestandsmappen die vaak worden gebruikt om gevoelige financiële of authenticatiegegevens op te slaan.
Bybit identificeerde meerdere domeinen en command-and-control-endpoints die aan de campagne waren gekoppeld, welke allemaal onschadelijk zijn gemaakt voor publieke openbaarmaking. Analyse geeft aan dat aanvallers vertrouwden op intermitterende HTTP-polling in plaats van permanente verbindingen, wat detectie moeilijker maakte.
Het incident weerspiegelt een groeiende trend van aanvallers die ontwikkelaars doelwitten via gemanipuleerde zoekresultaten, vooral nu AI-tools mainstream worden. Ontwikkelaars blijven aantrekkelijke doelwitten vanwege hun toegang tot codebases, infrastructuur en financiële systemen.
Bybit bevestigde dat de kwaadaardige infrastructuur op 12 maart werd geïdentificeerd, waarbij volledige analyse, mitigatie en detectiemaatregelen nog dezelfde dag werden afgerond. Publieke openbaarmaking volgde op 20 maart, samen met gedetailleerde detectierichtlijnen.
#Bybit / #CryptoArk / #NewFinancialPlatform
Over Bybit
Bybit is ‘s werelds op één na grootste cryptocurrencybeurs naar handelsvolume en bedient een wereldwijde gemeenschap van meer dan 80 miljoen gebruikers. Bybit werd opgericht in 2018 en herdefinieert openheid in de gedecentraliseerde wereld door een eenvoudiger, open en gelijkwaardig ecosysteem voor iedereen te creëren. Met een sterke focus op Web3 gaat Bybit strategische samenwerkingen aan met toonaangevende blockchainprotocollen om robuuste infrastructuur te bieden en on-chain-innovatie te stimuleren. Bekend om zijn veilige custody, diverse marktplaatsen, intuïtieve gebruikerservaring en geavanceerde blockchain-tools, overbrugt Bybit de kloof tussen TradFi en DeFi en stelt het bouwers, makers en liefhebbers in staat het volledige potentieel van Web3 te ontsluiten. Ontdek de toekomst van gedecentraliseerde financiën op Bybit.com.
Voor meer details over Bybit, bezoek Bybit Press
Voor persvragen kunt u contact opnemen met: [email protected]
Voor updates, volg: Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
