In het nieuwsbericht “Bybit Uncovers AI-Assisted macOS Malware Campaign Targeting Users Searching for Claude Code”, uitgebracht op 21-apr-2026 door Bybit via PR Newswire, is ons door het bedrijf meegedeeld dat de kop en de negende alinea zijn bijgewerkt. Het volledige, gecorrigeerde bericht volgt:
Door AI versterkt Bybit Security Team onthult macOS‑malwarecampagne die gebruikers treft die zoeken naar Claude Code
DUBAI, VAE, 21 april 2026 /PRNewswire/ -- Bybit, ’s werelds op één na grootste cryptobeurs gemeten naar handelsvolume, meldde dat het Security Operations Center (SOC) bevindingen heeft gepubliceerd over een geavanceerde, meerfasige malwarecampagne die zich richt op macOS‑gebruikers die zoeken naar “Claude Code”, een AI‑gestuurde ontwikkeltool van Anthropic.
Het rapport geldt als een van de eerste bekende openbaarmakingen door een gecentraliseerde cryptobeurs (CEX) van een actieve dreigingscampagne die ontwikkelaars via AI‑tool‑ontdekkingskanalen viseert, en onderstreept de groeiende rol van de sector in frontlinie‑cybersecurity‑inlichtingen.
De campagne werd voor het eerst geïdentificeerd in maart 2026 en maakte gebruik van search engine optimization (SEO)‑vergiftiging om een kwaadaardig domein bovenaan de Google‑zoekresultaten te krijgen. Gebruikers werden omgeleid naar een nagemaakte installatiepagina die nauw leek op legitieme documentatie, wat een tweefasige aanvalsketen in gang zette die gericht was op het oogsten van inloggegevens, het aanvallen van cryptoactiva en het verkrijgen van blijvende systeemtoegang.
De initiële payload, geleverd via een Mach‑O‑dropper, installeerde een op osascript gebaseerde infostealer met kenmerken die vergelijkbaar zijn met bekende AMOS‑ en Banshee‑varianten. Deze voerde een meerfasige verbergings‑ (obfuscation) sequentie uit om gevoelige gegevens te extraheren, waaronder browserwachtwoorden, macOS Keychain‑items, Telegram‑sessies, VPN‑profielen en informatie over cryptowallets. Onderzoekers van Bybit identificeerden gerichte toegangsaanvallen op meer dan 250 browsergebaseerde walletextensies en meerdere desktopwallet‑applicaties.
Een tweede‑fase‑payload introduceerde een op C++ gebaseerde backdoor met geavanceerde ontwijkingsmogelijkheden, waaronder sandbox‑detectie en versleutelde runtime‑configuraties. De malware zorgde voor persistentie via systeemtaken (system‑level agents) en maakte externe commando‑uitvoering mogelijk via HTTP‑gebaseerde polling, waardoor aanvallers blijvende controle kregen over gecompromitteerde apparaten.
Het SOC van Bybit maakte gebruik van AI‑ondersteunde workflows in de volledige malware‑analysecylus, waardoor de reactietijd aanzienlijk werd verkort terwijl de analytische diepgang behouden bleef. De eerste triage en classificatie van het Mach‑O‑sample werden binnen enkele minuten afgerond, waarbij modellen gedragsmatige overeenkomsten met bekende malwarefamilies markeerden.
AI‑ondersteunde reverse‑engineering en control‑flow‑analyse verkortten de tijd die nodig was voor diepgaande inspectie van de backdoor in de tweede fase van een geschatte zes tot acht uur tot minder dan 40 minuten. Tegelijkertijd identificeerden geautomatiseerde extractiepijplijnen indicatoren van compromittering (IOC’s) – waaronder command‑and‑control‑infrastructuur, bestandssignaturen en gedragspatronen – en koppelden deze aan gevestigde dreigingsraamwerken.
Dankzij deze mogelijkheden konden op dezelfde dag detectiemaatregelen worden uitgerold. AI‑ondersteunde regelgeneratie ondersteunde het opstellen van dreigingssignaturen en endpointdetectieregels, die door analisten werden gevalideerd voordat ze in productieomgevingen werden uitgerold. Door AI gegenereerde conceptrapportages verkortten de doorlooptijd verder, waardoor threat‑intelligence‑uitvoer ongeveer 70% sneller kon worden afgerond dan met traditionele workflows.
„Als een van de eerste cryptobeurzen die dit type malwarecampagne publiekelijk documenteert, vinden we dat het delen van deze bevindingen cruciaal is om de collectieve verdediging in de sector te versterken,” zei David Zong, Head of Group Risk Control and Security bij Bybit. „Ons AI‑ondersteunde SOC stelt ons in staat om binnen één operationeel venster te schakelen van detectie naar volledige zichtbaarheid over de kill chain. Wat vroeger een team van analisten vereiste dat over meerdere diensten werkte – decompilatie, IOC‑extractie, rapportopstelling, regelschrijven – werd in één sessie voltooid, waarbij AI het zware werk deed en onze analisten zorgden voor beoordeling en validatie. Kijkend naar de toekomst zullen we een AI‑oorlog tegemoet gaan. AI gebruiken om AI te bestrijden is een onvermijdelijke trend. Bybit zal zijn investeringen in AI voor security verder opvoeren, om dreigingsdetectie op minutenniveau en geautomatiseerde, intelligente noodrespons te realiseren.”
Het onderzoek bracht ook social‑engineeringtactieken aan het licht, waaronder valse macOS‑wachtwoordprompts die werden gebruikt om gebruikersinloggegevens te valideren en in cache op te slaan. In sommige gevallen probeerden aanvallers legitieme cryptowallet‑apps, zoals Ledger Live en Trezor Suite, te vervangen door met malware geïnfecteerde versies die op kwaadaardige infrastructuur werden gehost.
De malware had het gemunt op een breed scala aan omgevingen, waaronder Chromium‑gebaseerde browsers, Firefox‑varianten, Safari‑gegevens, Apple Notes en lokale bestandsmappen die vaak worden gebruikt om gevoelige financiële of authenticatiegegevens op te slaan.
Bybit identificeerde meerdere domeinen en command‑and‑control‑endpoints die aan de campagne zijn gekoppeld; al deze zijn onschadelijk gemaakt voor publieke openbaarmaking. Analyse wijst erop dat aanvallers vertrouwden op intermitterende HTTP‑polling in plaats van persistente verbindingen, wat detectie bemoeilijkte.
Het incident weerspiegelt een groeiende trend waarbij aanvallers ontwikkelaars viseren via gemanipuleerde zoekresultaten, in het bijzonder nu AI‑tools mainstream worden. Ontwikkelaars blijven hooggewaardeerde doelwitten vanwege hun toegang tot codebases, infrastructuur en financiële systemen.
Bybit bevestigde dat kwaadaardige infrastructuur op 12 maart werd geïdentificeerd en dat volledige analyse, mitigatie en detectiemaatregelen diezelfde dag zijn afgerond. Publieke openbaarmaking volgde op 20 maart, samen met gedetailleerde detectierichtlijnen.
#Bybit / #CryptoArk / #NewFinancialPlatform
Over Bybit
Bybit is ’s werelds op één na grootste cryptovalutabeurs gemeten naar handelsvolume en bedient een wereldwijde community van meer dan 80 miljoen gebruikers. Bybit werd opgericht in 2018 en herdefinieert openheid in de gedecentraliseerde wereld door een eenvoudiger, open en gelijkwaardig ecosysteem voor iedereen te creëren. Met een sterke focus op Web3 werkt Bybit strategisch samen met toonaangevende blockchainprotocollen om robuuste infrastructuur te bieden en innovatie on‑chain te stimuleren. Bekend om zijn veilige bewaring, diverse marktplaatsen, intuïtieve gebruikerservaring en geavanceerde blockchaintools, overbrugt Bybit de kloof tussen TradFi en DeFi en stelt het bouwers, creators en enthousiastelingen in staat het volledige potentieel van Web3 te ontsluiten. Ontdek de toekomst van gedecentraliseerde financiering op Bybit.com.
Voor meer informatie over Bybit, bezoek Bybit Press
Voor persaanvragen, neem contact op met: [email protected]
Voor updates, volg: Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
