W informacji prasowej „Bybit ujawnia kampanię złośliwego oprogramowania na macOS wspieraną przez AI, wymierzoną w użytkowników szukających Claude Code”, opublikowanej 21 kwietnia 2026 r. przez Bybit za pośrednictwem PR Newswire, spółka informuje, że zaktualizowano nagłówek oraz dziewiąty akapit. Poniżej znajduje się pełna, skorygowana wersja komunikatu:
Zespół ds. bezpieczeństwa Bybit wspierany przez AI ujawnia kampanię złośliwego oprogramowania na macOS wymierzoną w użytkowników szukających Claude Code
DUBAJ, ZEA, 21 kwietnia 2026 r. /PRNewswire/ -- Bybit, druga co do wielkości giełda kryptowalut na świecie pod względem wolumenu obrotu, poinformowała, że jej Centrum Operacji Bezpieczeństwa (SOC) ujawniło wyniki analizy szczegółowo opisujące zaawansowaną, wieloetapową kampanię złośliwego oprogramowania wymierzoną w użytkowników macOS, którzy wyszukiwali „Claude Code”, narzędzie programistyczne oparte na sztucznej inteligencji stworzone przez Anthropic.
Raport stanowi jedno z pierwszych znanych ujawnień przez scentralizowaną giełdę kryptowalut (CEX) aktywnej kampanii zagrożeń wymierzonej w deweloperów za pośrednictwem kanałów odkrywania narzędzi AI, co podkreśla rosnącą rolę tego sektora w pierwszej linii wywiadu w zakresie cyberbezpieczeństwa.
Po raz pierwszy zidentyfikowana w marcu 2026 r. kampania wykorzystywała zatruwanie wyników wyszukiwarek (SEO poisoning), aby wynieść złośliwą domenę na szczyt wyników wyszukiwania Google. Użytkownicy byli przekierowywani na spreparowaną stronę instalacyjną, zaprojektowaną tak, aby ściśle przypominała legalną dokumentację, co uruchamiało dwuetapowy łańcuch ataku skoncentrowany na kradzieży danych uwierzytelniających, zasobów kryptowalutowych oraz uzyskaniu trwałego dostępu do systemu.
Początkowy ładunek, dostarczony za pośrednictwem droppera Mach-O, wdrażał infostealera opartego na osascript, wykazującego cechy podobne do znanych wariantów AMOS i Banshee. Wykonywał on wielofazową sekwencję zaciemniania w celu pozyskania wrażliwych danych, w tym danych logowania z przeglądarek, wpisów z Pęku kluczy macOS, sesji Telegram, profili VPN oraz informacji o portfelach kryptowalutowych. Badacze Bybit zidentyfikowali próby uzyskania ukierunkowanego dostępu do ponad 250 rozszerzeń portfeli przeglądarkowych oraz wielu aplikacji portfeli desktopowych.
Drugi etap ładunku wprowadzał backdoora opartego na C++ z zaawansowanymi możliwościami unikania wykrycia, w tym wykrywaniem środowiska sandbox oraz szyfrowanymi konfiguracjami w czasie wykonywania. Złośliwe oprogramowanie ustanawiało trwałość poprzez agentów na poziomie systemu i umożliwiało zdalne wykonywanie poleceń za pomocą odpytywania HTTP, zapewniając atakującym stałą kontrolę nad zainfekowanymi urządzeniami.
SOC Bybit wykorzystywało przepływy pracy wspomagane przez AI w całym cyklu analizy złośliwego oprogramowania, znacząco przyspieszając czas reakcji przy zachowaniu głębi analitycznej. Wstępne triage i klasyfikacja próbki Mach-O zostały zakończone w ciągu kilku minut, a modele oznaczyły podobieństwa behawioralne do znanych rodzin malware.
Wspomagane przez AI inżynieria wsteczna i analiza przepływu sterowania skróciły czas potrzebny na dogłębną inspekcję backdoora drugiego etapu z szacowanych sześciu–ośmiu godzin do mniej niż 40 minut. Jednocześnie zautomatyzowane potoki ekstrakcji zidentyfikowały wskaźniki naruszenia (IOC) – w tym infrastrukturę dowodzenia i kontroli, sygnatury plików oraz wzorce zachowań – i odwzorowały je do ustalonych struktur zagrożeń.
Te możliwości umożliwiły wdrożenie środków detekcji tego samego dnia. Wspomagane przez AI generowanie reguł wsparło tworzenie sygnatur zagrożeń i reguł wykrywania na punktach końcowych, które analitycy zweryfikowali przed wdrożeniem w środowiskach produkcyjnych. Szkice raportów generowane przez AI dodatkowo skróciły czas realizacji, pozwalając na finalizację produktów wywiadu o zagrożeniach około 70% szybciej niż w tradycyjnych procesach.
„Jako jedna z pierwszych giełd kryptowalut, które publicznie dokumentują tego typu kampanię złośliwego oprogramowania, uważamy, że podzielenie się tymi ustaleniami ma kluczowe znaczenie dla wzmocnienia zbiorowej obrony w całej branży” – powiedział David Zong, szef Group Risk Control and Security w Bybit. „Nasz wspomagany przez AI SOC pozwala nam przejść od wykrycia do pełnej widoczności całego kill chainu w jednym oknie operacyjnym. To, co wcześniej wymagało pracy zespołu analityków w wielu zmianach – dekompilacja, ekstrakcja IOC, przygotowanie raportu, tworzenie reguł – zostało zrealizowane w jednej sesji, z AI wykonującą najcięższą pracę i naszymi analitykami zapewniającymi osąd oraz walidację. Patrząc w przyszłość, staniemy w obliczu wojny AI. Wykorzystywanie AI do obrony przed AI jest nieuniknionym trendem. Bybit jeszcze bardziej zwiększy inwestycje w AI na potrzeby bezpieczeństwa, osiągając wykrywanie zagrożeń na poziomie minut oraz zautomatyzowaną, inteligentną reakcję awaryjną.”
Dochodzenie ujawniło również techniki socjotechniczne, w tym fałszywe monity o hasło macOS używane do weryfikacji i buforowania danych uwierzytelniających użytkowników. W niektórych przypadkach atakujący próbowali zastępować legalne aplikacje portfeli kryptowalutowych, takie jak Ledger Live i Trezor Suite, trojanizowanymi wersjami hostowanymi w złośliwej infrastrukturze.
Złośliwe oprogramowanie atakowało szeroką gamę środowisk, w tym przeglądarki oparte na Chromium, warianty Firefoksa, dane Safari, Notatki Apple oraz lokalne katalogi plików, które są powszechnie wykorzystywane do przechowywania wrażliwych danych finansowych lub uwierzytelniających.
Bybit zidentyfikował wiele domen oraz punktów końcowych dowodzenia i kontroli powiązanych z kampanią, z których wszystkie zostały zneutralizowane na potrzeby publicznego ujawnienia. Analiza wskazuje, że atakujący polegali na przerywanym odpytywaniu HTTP, a nie na stałych połączeniach, co utrudniało wykrycie.
Incydent odzwierciedla rosnący trend ataków na deweloperów poprzez zmanipulowane wyniki wyszukiwania, szczególnie w miarę, jak narzędzia AI zyskują masową adopcję. Deweloperzy pozostają celami o wysokiej wartości ze względu na ich dostęp do baz kodu, infrastruktury i systemów finansowych.
Bybit potwierdził, że złośliwa infrastruktura została zidentyfikowana 12 marca, a pełna analiza, działania zaradcze i środki detekcji zostały zakończone tego samego dnia. Publiczne ujawnienie nastąpiło 20 marca wraz ze szczegółowymi wytycznymi dotyczącymi wykrywania.
#Bybit / #CryptoArk / #NewFinancialPlatform
O firmie Bybit
Bybit jest drugą co do wielkości giełdą kryptowalut na świecie pod względem wolumenu obrotu, obsługującą globalną społeczność ponad 80 milionów użytkowników. Założona w 2018 r. Bybit na nowo definiuje przejrzystość w zdecentralizowanym świecie, tworząc prostszy, otwarty i równy ekosystem dla wszystkich. Koncentrując się na Web3, Bybit strategicznie współpracuje z wiodącymi protokołami blockchain, aby zapewnić solidną infrastrukturę i napędzać innowacje on-chain. Znana z bezpiecznej powierniczej przechowywalni, zróżnicowanych rynków, intuicyjnego doświadczenia użytkownika oraz zaawansowanych narzędzi blockchain, Bybit wypełnia lukę między TradFi a DeFi, umożliwiając budowniczym, twórcom i entuzjastom odblokowanie pełnego potencjału Web3. Odkryj przyszłość zdecentralizowanych finansów na Bybit.com.
Aby uzyskać więcej informacji o Bybit, odwiedź Bybit Press
W sprawach medialnych prosimy o kontakt: [email protected]
Aktualności znajdziesz, śledząc: Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
