У новинному релізі «Bybit виявляє кампанію зі зловмисним ПЗ для macOS за підтримки ШІ, націлену на користувачів, які шукають Claude Code», опублікованому 21 квітня 2026 року компанією Bybit через PR Newswire, компанія повідомляє, що заголовок і дев’ятий абзац були оновлені. Нижче наведено повний, виправлений реліз:
Посилена ШІ команда безпеки Bybit виявляє кампанію зі зловмисним ПЗ для macOS, націлену на користувачів, які шукають Claude Code
ДУБАЙ, ОАЕ, 21 квітня 2026 р. /PRNewswire/ -- Bybit, друга за величиною у світі криптовалютна біржа за обсягом торгів, повідомила, що її Центр операцій безпеки (SOC) розкрив результати дослідження складної, багатостадійної кампанії зі зловмисним ПЗ, спрямованої проти користувачів macOS, які шукають «Claude Code» — інструмент розробки на основі ШІ від Anthropic.
Звіт є одним із перших відомих розкриттів активної загрозливої кампанії, спрямованої проти розробників через канали пошуку AI‑інструментів, зроблених централізованою криптобіржею (CEX), що підкреслює зростаючу роль цього сектору на передовій кіберрозвідки.
Вперше ідентифікована в березні 2026 року, кампанія використовувала SEO‑підміну (search engine optimization poisoning), щоб підняти шкідливий домен на верхні позиції в результатах пошуку Google. Користувачів перенаправляли на підроблену сторінку встановлення, розроблену так, щоб тісно нагадувати легітимну документацію, запускаючи двостадійний ланцюг атаки, зосереджений на викраденні облікових даних, націлюванні на криптоактиви та забезпеченні стійкого доступу до системи.
Початкове корисне навантаження, доставлене через Mach-O дропер, розгортало infostealer на основі osascript, що демонстрував характеристики, схожі на відомі варіанти AMOS і Banshee. Воно виконувало багатофазну послідовність обфускації для вилучення конфіденційних даних, включно з обліковими даними браузера, записами macOS Keychain, сесіями Telegram, профілями VPN та інформацією криптовалютних гаманців. Дослідники Bybit виявили спроби цільового доступу до більш ніж 250 розширень браузерних гаманців і кількох десктопних застосунків‑гаманців.
Другий етап корисного навантаження вводив бекдор на основі C++ з розвинутими можливостями ухилення, включно з виявленням пісочниці та зашифрованими конфігураціями під час виконання. Шкідливе ПЗ забезпечувало постійність через системні агенти та надавало можливість віддаленого виконання команд через HTTP‑опитування, що дозволяло зловмисникам підтримувати тривалий контроль над скомпрометованими пристроями.
SOC Bybit застосував робочі процеси з підтримкою ШІ на всьому життєвому циклі аналізу зловмисного ПЗ, суттєво прискоривши час реагування при збереженні глибини аналітики. Початковий тріаж і класифікація зразка Mach-O були завершені за лічені хвилини, при цьому моделі позначили поведінкову схожість із відомими сімействами зловмисного ПЗ.
Реверс‑інжиніринг і аналіз потоку керування за підтримки ШІ скоротили час, необхідний для глибокого дослідження бекдора другого етапу, з оцінених шести‑восьми годин до менш ніж 40 хвилин. Одночасно автоматизовані конвеєри вилучення ідентифікували індикатори компрометації (IOC), зокрема інфраструктуру керування й контролю, файлові сигнатури та поведінкові шаблони, і зіставили їх із усталеними матрицями загроз.
Ці можливості дозволили розгорнути заходи виявлення того ж дня. Генерація правил за участю ШІ підтримала створення сигнатур загроз і правил виявлення на кінцевих точках, які аналітики верифікували перед розгортанням у продуктивних середовищах. Чернетки звітів, згенеровані ШІ, додатково скоротили час підготовки, дозволивши фіналізувати продукти розвідки загроз приблизно на 70% швидше, ніж у традиційних робочих процесах.
«Як одна з перших криптобірж, що публічно документує такий тип кампаній зі зловмисним ПЗ, ми вважаємо, що поширення цих результатів критично важливе для посилення колективного захисту в усій індустрії», — сказав Девід Зонг, керівник підрозділу контролю ризиків і безпеки групи компаній Bybit. «Наш SOC із підтримкою ШІ дозволяє перейти від виявлення до повної видимості ланцюга атаки в межах одного операційного вікна. Те, що раніше вимагало роботи команди аналітиків у кілька змін — декомпіляція, вилучення IOC, підготовка звітів, написання правил, — тепер було завершено за одну сесію, де ШІ виконував основну частину роботи, а наші аналітики забезпечували судження й валідацію. Дивлячись у майбутнє, ми зіткнемося з війною ШІ. Використання ШІ для захисту від ШІ — неминучий тренд. Bybit і надалі збільшуватиме інвестиції в ШІ для безпеки, досягаючи виявлення загроз на рівні хвилин і автоматизованого, інтелектуального реагування на інциденти.»
Розслідування також виявило тактики соціальної інженерії, включно з підробленими запитами пароля macOS, які використовувалися для перевірки та кешування облікових даних користувачів. У деяких випадках зловмисники намагалися замінити легітимні криптогаманці, такі як Ledger Live і Trezor Suite, троянізованими версіями, розміщеними на шкідливій інфраструктурі.
Шкідливе ПЗ націлювалося на широкий спектр середовищ, включно з браузерами на базі Chromium, варіантами Firefox, даними Safari, нотатками Apple Notes та локальними файловими каталогами, які часто використовують для зберігання конфіденційних фінансових або автентифікаційних даних.
Bybit ідентифікувала кілька доменів та кінцевих точок керування й контролю, пов’язаних із кампанією; усі вони були «знешкоджені» для публічного розкриття. Аналіз свідчить, що зловмисники покладалися на періодичне HTTP‑опитування, а не на постійні з’єднання, що ускладнювало виявлення.
Інцидент відображає зростаючий тренд атакувальників, які націлюються на розробників через маніпульовані результати пошуку, особливо у міру того, як AI‑інструменти набувають масового поширення. Розробники залишаються високоцінними цілями через їхній доступ до кодових баз, інфраструктури та фінансових систем.
Bybit підтвердила, що шкідливу інфраструктуру було виявлено 12 березня, при цьому повний аналіз, пом’якшення наслідків і впровадження заходів виявлення були завершені того ж дня. Публічне розкриття відбулося 20 березня, разом із детальними рекомендаціями щодо виявлення.
#Bybit / #CryptoArk / #NewFinancialPlatform
Про Bybit
Bybit — друга за величиною у світі криптовалютна біржа за обсягом торгів, що обслуговує глобальну спільноту понад 80 мільйонів користувачів. Заснована у 2018 році, Bybit переосмислює відкритість у децентралізованому світі, створюючи простішу, відкриту та рівну екосистему для всіх. Приділяючи значну увагу Web3, Bybit стратегічно співпрацює з провідними блокчейн‑протоколами, щоб забезпечити надійну інфраструктуру та стимулювати інновації в ончейн‑середовищі. Відома своєю надійною кастодіальною інфраструктурою, різноманітними ринками, інтуїтивним користувацьким досвідом та розвинутими блокчейн‑інструментами, Bybit долає розрив між TradFi та DeFi, надаючи розробникам, творцям і ентузіастам змогу розкрити повний потенціал Web3. Відкрийте майбутнє децентралізованих фінансів на Bybit.com.
Для отримання додаткової інформації про Bybit, будь ласка, відвідайте Bybit Press
Для запитів ЗМІ, будь ласка, звертайтесь: [email protected]
Для оновлень, будь ласка, підписуйтесь: Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
