Bybit,按交易量計為全球第二大加密貨幣交易所,表示其安全營運中心(SOC)披露了一項精密、多階段的惡意程式攻擊行動,目標鎖定搜尋「Claude Code」——Anthropic 推出的 AI 驅動開發工具——的 macOS 用戶。
此報告被視為首批由中心化加密貨幣交易所(CEX)公開披露、針對開發者並透過 AI 工具發掘渠道進行的主動威脅攻擊之一,凸顯加密產業在前線網絡安全情報上的日益重要角色。
這項攻擊行動最早於 2026 年 3 月被發現。攻擊者利用搜尋引擎最佳化(SEO)汙染技術,將惡意網域推上 Google 搜尋結果前列。用戶被重新導向至一個仿冒安裝頁面,其設計與正版說明文件極為相似,從而觸發兩階段攻擊鏈條,集中於憑證竊取、加密資產盜取及持久系統存取。
首個攻擊載荷經由 Mach-O dropper 投遞,部署了一個以 osascript 為基礎的資訊竊取程式,其行為特徵與已知 AMOS 及 Banshee 變種相似。它透過多階段混淆程序提取敏感數據,包括瀏覽器登入憑證、macOS 鑰匙圈項目、Telegram 工作階段、VPN 設定檔,以及加密貨幣錢包資訊。Bybit 研究人員發現,攻擊者試圖存取超過 250 款瀏覽器錢包擴充功能及多款桌面錢包應用程式。
第二階段載荷則引入一個以 C++ 編寫的後門程式,具備進階逃避偵測能力,包括沙盒偵測及加密執行期設定。惡意程式透過系統層級代理實現持久化,並以基於 HTTP 的輪詢方式進行遠端指令執行,使攻擊者得以長期控制受感染裝置。
Bybit 的 SOC 在整個惡意程式分析生命週期中廣泛運用 AI 協助流程,大幅加快回應時間,同時維持分析深度。對 Mach-O 樣本的初步分類與歸類在數分鐘內完成,模型亦標記出其行為與既有惡意家族的相似性。
透過 AI 協助的逆向工程及控制流程分析,對第二階段後門進行深入檢視的時間,由原先估計的六至八小時縮短至 40 分鐘以內。與此同時,自動化抽取流程找出多項入侵指標(IOC),包括指揮控制(C2)基礎設施、檔案簽章及行為模式,並將其對應至既有威脅框架。
這些能力令偵測措施得以於同日部署。AI 協助的規則產生流程支援威脅特徵碼及端點偵測規則的建立,再由分析人員驗證後推送至實際環境。AI 產生的報告草稿進一步縮短了交付時間,使威脅情報產出較傳統流程快約 70% 完成。
「作為首批公開記錄此類惡意程式攻擊行動的加密貨幣交易所之一,我們相信分享這些發現,對於強化整個行業的集體防禦至關重要。」**Bybit 風險控制及安全部門負責人宗大衛(David Zong)**表示:「我們以 AI 協助的 SOC,可以在單一營運窗口內,從偵測推進至完整攻擊鏈可視化。過往需要多班分析團隊輪流作業的工作——反編譯、IOC 抽取、報告撰寫、規則制定——如今在一個工作階段內完成,由 AI 承擔大量繁重工作,而分析師則提供專業判斷與驗證。」
調查亦揭露了社交工程手法,包括偽造的 macOS 密碼提示,用以驗證並快取用戶憑證。在部分案例中,攻擊者嘗試以託管於惡意基礎設施上的木馬化版本,取代例如 Ledger Live 和 Trezor Suite 等合法加密錢包應用。
惡意程式攻擊範圍廣泛,包括 Chromium 系瀏覽器、Firefox 變種、Safari 資料、Apple 備忘錄,以及常用來存放敏感財務或認證數據的本機檔案目錄。
Bybit 辨識出多個與此攻擊行動相關的網域及指揮控制端點,所有資料在公開前均已去武裝處理。分析顯示,攻擊者依賴間歇性 HTTP 輪詢,而非持續連線,使偵測難度進一步提升。
此事件反映出一個愈趨明顯的趨勢:攻擊者透過操縱搜尋結果鎖定開發者,尤其是在 AI 工具邁向主流採用之際。由於開發者普遍能存取程式碼庫、基礎設施及金融系統,因而成為高價值目標。
Bybit 證實,其於 3 月 12 日識別出相關惡意基礎設施,並在當日內完成全面分析、緩解及偵測措施部署。公開披露則於 3 月 20 日進行,同步釋出詳細偵測指引。
#Bybit / #CryptoArk / #NewFinancialPlatform
關於 Bybit
Bybit 按交易量計為全球第二大加密貨幣交易所,服務全球超過 8,000 萬用戶。Bybit 成立於 2018 年,致力於在去中心化世界重新定義「開放」,為所有人打造更簡單、開放且平等的生態系統。Bybit 對 Web3 保持高度專注,並與領先區塊鏈協議建立策略性合作,以提供穩健基礎設施並推動鏈上創新。憑藉安全託管、多元市場、直覺化的使用體驗以及先進區塊鏈工具,Bybit 打通傳統金融(TradFi)與去中心化金融(DeFi)之間的鴻溝,協助建設者、創作者及愛好者釋放 Web3 的全部潛能。請於 Bybit.com 探索去中心化金融的未來。
如欲了解 Bybit 更多詳情,請瀏覽 Bybit Press
媒體查詢,請聯絡:[email protected]
如欲獲取最新動態,請關注:Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
