В новостном релизе «Bybit раскрыла кампанию вредоносного ПО для macOS с поддержкой ИИ, нацеленную на пользователей, ищущих Claude Code», опубликованном 21 апреля 2026 года компанией Bybit через PR Newswire, компания сообщает, что заголовок и девятый абзац были обновлены. Полный, исправленный релиз приведён ниже:
Укреплённая ИИ команда безопасности Bybit раскрыла кампанию вредоносного ПО для macOS, нацеленную на пользователей, ищущих Claude Code
ДУБАЙ, ОАЭ, 21 апреля 2026 г. /PRNewswire/ -- Bybit, вторая по величине криптовалютная биржа в мире по объёму торгов, сообщила, что её Центр операций безопасности (SOC) раскрыл подробности о сложной многоэтапной кампании вредоносного ПО, нацеленной на пользователей macOS, ищущих «Claude Code» — инструмент разработки на базе ИИ от Anthropic.
Этот отчёт является одним из первых известных раскрытий со стороны централизованной криптобиржи (CEX) об активной кампании угроз, нацеленной на разработчиков через каналы поиска ИИ-инструментов, что подчёркивает растущую роль этого сектора в формировании передовой разведки кибербезопасности.
Впервые выявленная в марте 2026 года, кампания использовала отравление поисковой оптимизации (SEO poisoning), чтобы вывести вредоносный домен в верхнюю часть результатов поиска Google. Пользователи перенаправлялись на поддельную страницу установки, созданную таким образом, чтобы максимально походить на легитимную документацию, что запускало двухэтапную цепочку атаки, нацеленную на кражу учётных данных, криптоактивов и получение устойчивого доступа к системе.
Начальная полезная нагрузка, доставленная через загрузчик формата Mach-O, разворачивала infostealer на базе osascript, демонстрирующий характеристики, схожие с известными вариантами AMOS и Banshee. Он выполнял многоэтапную последовательность обфускации для извлечения конфиденциальных данных, включая учётные данные браузера, записи macOS Keychain, сессии Telegram, профили VPN и информацию криптовалютных кошельков. Исследователи Bybit зафиксировали попытки целевого доступа более чем к 250 браузерным расширениям‑кошелькам и нескольким настольным приложениям‑кошелькам.
Вторая стадия полезной нагрузки внедряла бэкдор на C++, обладающий продвинутыми возможностями уклонения, включая обнаружение песочницы и зашифрованные конфигурации времени выполнения. Вредоносное ПО обеспечивало постоянство через системные агенты и позволяло удалённое выполнение команд посредством HTTP‑опроса, предоставляя злоумышленникам длительный контроль над скомпрометированными устройствами.
SOC Bybit применял рабочие процессы с поддержкой ИИ на всём протяжении жизненного цикла анализа вредоносного ПО, значительно ускоряя время реагирования при сохранении аналитической глубины. Первичный разбор и классификация образца Mach-O были завершены в течение нескольких минут, причём модели отметили поведенческое сходство с известными семействами вредоносного ПО.
Обратная разработка и анализ управляющих потоков с поддержкой ИИ сократили время, необходимое для детального исследования бэкдора второй стадии, с оцениваемых шести–восьми часов до менее чем 40 минут. Одновременно автоматизированные конвейеры извлечения выявили индикаторы компрометации (IOC), включая инфраструктуру управления и контроля, файловые сигнатуры и поведенческие паттерны, и сопоставили их с установленными моделями угроз.
Эти возможности обеспечили развёртывание мер обнаружения в тот же день. Генерация правил с поддержкой ИИ помогла в создании сигнатур угроз и правил для систем обнаружения на конечных точках, которые аналитики валидировали перед внедрением в производственные среды. Черновики отчётов, сгенерированные ИИ, дополнительно сократили время подготовки, позволив финализировать продукты разведки угроз примерно на 70% быстрее традиционных рабочих процессов.
«Будучи одной из первых криптобирж, публично документирующих подобную кампанию вредоносного ПО, мы считаем, что обмен этими результатами критически важен для укрепления коллективной защиты в отрасли», — сказал Дэвид Зонг, руководитель отдела контроля групповых рисков и безопасности Bybit. «Наш SOC с поддержкой ИИ позволяет нам перейти от обнаружения к полной видимости всей kill chain в рамках одного операционного окна. То, что раньше требовало команды аналитиков, работающих в несколько смен — декомпиляцию, извлечение IOC, подготовку отчётов, написание правил, — теперь выполняется за одну сессию, где ИИ берёт на себя основную нагрузку, а наши аналитики обеспечивают оценку и валидацию. В будущем нас ждёт война ИИ. Использование ИИ для защиты от ИИ — неизбежный тренд. Bybit ещё больше увеличит инвестиции в ИИ для безопасности, добиваясь обнаружения угроз на уровне минут и автоматизированного, интеллектуального реагирования на инциденты».
Расследование также выявило методы социальной инженерии, включая поддельные запросы пароля macOS, используемые для проверки и кэширования учётных данных пользователей. В некоторых случаях злоумышленники пытались заменить легитимные приложения‑криптокошельки, такие как Ledger Live и Trezor Suite, троянизированными версиями, размещёнными на вредоносной инфраструктуре.
Вредоносное ПО нацеливалось на широкий спектр сред, включая браузеры на базе Chromium, варианты Firefox, данные Safari, заметки Apple Notes и локальные файловые каталоги, которые часто используются для хранения конфиденциальных финансовых или аутентификационных данных.
Bybit выявила несколько доменов и конечных точек управления и контроля, связанных с кампанией, все из которых были обезврежены для публичного раскрытия. Анализ показывает, что злоумышленники полагались на прерывистый HTTP‑опрос, а не на постоянные соединения, что усложняло обнаружение.
Инцидент отражает растущую тенденцию атак на разработчиков через манипулируемые результаты поиска, особенно по мере того, как ИИ‑инструменты получают массовое распространение. Разработчики остаются высокоценными целями из‑за их доступа к кодовым базам, инфраструктуре и финансовым системам.
Bybit подтвердила, что вредоносная инфраструктура была выявлена 12 марта, при этом полный анализ, меры смягчения и механизмы обнаружения были завершены в тот же день. Публичное раскрытие последовало 20 марта вместе с подробными рекомендациями по обнаружению.
#Bybit / #CryptoArk / #NewFinancialPlatform
О компании Bybit
Bybit — вторая по величине криптовалютная биржа в мире по объёму торгов, обслуживающая глобальное сообщество более чем из 80 миллионов пользователей. Основанная в 2018 году, Bybit переосмысляет открытость в децентрализованном мире, создавая более простой, открытый и равный для всех экосистему. Уделяя особое внимание Web3, Bybit стратегически сотрудничает с ведущими блокчейн‑протоколами, чтобы обеспечивать надёжную инфраструктуру и стимулировать инновации в ончейн‑среде. Известная своим безопасным хранением активов, разнообразными рынками, интуитивно понятным пользовательским опытом и продвинутыми блокчейн‑инструментами, Bybit устраняет разрыв между TradFi и DeFi, помогая создателям, разработчикам и энтузиастам раскрывать полный потенциал Web3. Откройте для себя будущее децентрализованных финансов на Bybit.com.
Для получения дополнительной информации о Bybit, пожалуйста, посетите Bybit Press
По вопросам для СМИ, пожалуйста, свяжитесь: [email protected]
Для получения обновлений, пожалуйста, следите за: Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
