Bybit, druga co do wielkości giełda kryptowalut na świecie pod względem wolumenu obrotu, poinformowała, że jej Security Operations Center (SOC) ujawniło ustalenia opisujące wyrafinowaną, wieloetapową kampanię złośliwego oprogramowania wymierzoną w użytkowników macOS szukających „Claude Code”, narzędzia deweloperskiego opartego na AI od Anthropic.
Raport stanowi jedno z pierwszych znanych ujawnień przez scentralizowaną giełdę kryptowalut (CEX) aktywnej kampanii zagrożeń wymierzonej w deweloperów poprzez kanały wyszukiwania narzędzi AI, co podkreśla rosnącą rolę tego sektora w czołówce wywiadu cyberbezpieczeństwa.
Po raz pierwszy zidentyfikowana w marcu 2026 r. kampania wykorzystywała zatruwanie wyników wyszukiwarek (SEO poisoning), aby wynieść złośliwą domenę na szczyt wyników wyszukiwania Google. Użytkownicy byli przekierowywani na spreparowaną stronę instalacyjną, zaprojektowaną tak, by ściśle przypominała legalną dokumentację, co uruchamiało dwustopniowy łańcuch ataku skoncentrowany na kradzieży poświadczeń, przechwytywaniu zasobów kryptowalutowych oraz utrzymaniu trwałego dostępu do systemu.
Początkowy ładunek, dostarczony przez dropper Mach-O, wdrażał infostealera opartego na osascript, wykazującego cechy podobne do znanych wariantów AMOS i Banshee. Wykonywał on wieloetapową sekwencję zaciemniania w celu wyodrębnienia wrażliwych danych, w tym poświadczeń przeglądarki, wpisów Pęku kluczy macOS, sesji Telegram, profili VPN oraz informacji o portfelach kryptowalutowych. Badacze Bybit zidentyfikowali ukierunkowane próby dostępu do ponad 250 rozszerzeń portfeli przeglądarkowych oraz wielu aplikacji portfeli desktopowych.
Drugi etap ładunku wprowadzał backdoora napisanego w C++ z zaawansowanymi możliwościami unikania wykrycia, w tym wykrywaniem sandboxa i szyfrowanymi konfiguracjami czasu wykonywania. Złośliwe oprogramowanie ustanawiało trwałość poprzez agentów na poziomie systemu i umożliwiało zdalne wykonywanie poleceń za pośrednictwem odpytywania HTTP, zapewniając atakującym stałą kontrolę nad skompromitowanymi urządzeniami.
SOC Bybit wykorzystywał przepływy pracy wspomagane przez AI w całym cyklu analizy złośliwego oprogramowania, znacznie przyspieszając czas reakcji przy zachowaniu głębi analitycznej. Wstępna triage i klasyfikacja próbki Mach-O zostały ukończone w ciągu kilku minut, a modele wskazały podobieństwa behawioralne do znanych rodzin malware.
Wspomagane przez AI inżynieria wsteczna i analiza przepływu sterowania skróciły czas wymagany na dogłębną inspekcję backdoora drugiego etapu z szacowanych sześciu–ośmiu godzin do poniżej 40 minut. Jednocześnie zautomatyzowane potoki ekstrakcji zidentyfikowały wskaźniki naruszenia (IOC) – w tym infrastrukturę command-and-control, sygnatury plików i wzorce zachowań – oraz odwzorowały je na ustalone frameworki zagrożeń.
Te możliwości pozwoliły na wdrożenie środków detekcji tego samego dnia. Wspomagane przez AI generowanie reguł wsparło tworzenie sygnatur zagrożeń i reguł wykrywania na punktach końcowych, które analitycy zweryfikowali przed wdrożeniem w środowiskach produkcyjnych. Projekty raportów generowane przez AI dodatkowo skróciły czas realizacji, umożliwiając finalizację produktów wywiadu o zagrożeniach około 70% szybciej niż w tradycyjnych procesach.
„Jako jedna z pierwszych giełd kryptowalut, która publicznie dokumentuje tego typu kampanię złośliwego oprogramowania, uważamy, że podzielenie się tymi ustaleniami jest kluczowe dla wzmocnienia zbiorowej obrony w całej branży” – powiedział David Zong, Head of Group Risk Control and Security w Bybit. „Nasz SOC wspomagany przez AI pozwala nam przejść od wykrycia do pełnej widoczności całego kill chainu w jednym oknie operacyjnym. To, co wcześniej wymagało zespołu analityków pracujących na wiele zmian – dekompilacja, ekstrakcja IOC, tworzenie raportów, pisanie reguł – zostało ukończone w jednej sesji, z AI wykonującą zasadniczą część pracy, a naszymi analitykami zapewniającymi osąd i walidację.”
Śledztwo ujawniło również techniki socjotechniczne, w tym fałszywe monity o hasło do macOS używane do weryfikacji i buforowania poświadczeń użytkownika. W niektórych przypadkach atakujący próbowali zastępować legalne aplikacje portfeli kryptowalutowych, takie jak Ledger Live i Trezor Suite, wersjami trojanizowanymi, hostowanymi w złośliwej infrastrukturze.
Złośliwe oprogramowanie atakowało szeroką gamę środowisk, w tym przeglądarki oparte na Chromium, warianty Firefoksa, dane Safari, Notatki Apple oraz lokalne katalogi plików powszechnie używane do przechowywania wrażliwych danych finansowych lub uwierzytelniających.
Bybit zidentyfikował wiele domen oraz endpointów command-and-control powiązanych z kampanią, z których wszystkie zostały unieszkodliwione na potrzeby publicznego ujawnienia. Analiza wskazuje, że atakujący polegali na przerywanym odpytywaniu HTTP zamiast trwałych połączeń, co utrudniało wykrycie.
Incydent odzwierciedla rosnący trend atakujących, którzy celują w deweloperów poprzez zmanipulowane wyniki wyszukiwania, szczególnie w miarę, jak narzędzia AI zyskują powszechną adopcję. Deweloperzy pozostają celami o wysokiej wartości ze względu na dostęp do baz kodu, infrastruktury i systemów finansowych.
Bybit potwierdził, że złośliwa infrastruktura została zidentyfikowana 12 marca, a pełna analiza, działania łagodzące i środki detekcji zostały ukończone tego samego dnia. Publiczne ujawnienie nastąpiło 20 marca, wraz ze szczegółowymi wytycznymi dotyczącymi wykrywania.
#Bybit / #CryptoArk / #NewFinancialPlatform
O Bybit
Bybit jest drugą co do wielkości giełdą kryptowalut na świecie pod względem wolumenu obrotu, obsługującą globalną społeczność ponad 80 milionów użytkowników. Założona w 2018 r. Bybit na nowo definiuje otwartość w zdecentralizowanym świecie, tworząc prostszy, otwarty i równy ekosystem dla wszystkich. Koncentrując się na Web3, Bybit strategicznie współpracuje z wiodącymi protokołami blockchain, aby zapewniać solidną infrastrukturę i napędzać innowacje on-chain. Znana z bezpiecznej przechowalni, zróżnicowanych rynków, intuicyjnego doświadczenia użytkownika i zaawansowanych narzędzi blockchain, Bybit łączy tradycyjne finanse (TradFi) i DeFi, umożliwiając budowniczym, twórcom i entuzjastom odblokowanie pełnego potencjału Web3. Odkryj przyszłość zdecentralizowanych finansów na Bybit.com.
Aby uzyskać więcej informacji o Bybit, odwiedź Bybit Press
W sprawach medialnych prosimy o kontakt: [email protected]
Aby uzyskać aktualizacje, śledź: Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
