In the news release, Bybit Uncovers AI-Assisted macOS Malware Campaign Targeting Users Searching for Claude Code, issued 21-Apr-2026 by Bybit over PR Newswire, we are advised by the company that the headline and 9th paragraph have been updated. The complete, corrected release follows:
Bybit AI 加持安全團隊揭露針對搜尋 Claude Code 的 macOS 惡意程式活動
DUBAI, UAE, April 21, 2026 /PRNewswire/ -- Bybit,按交易量計算為全球第二大加密貨幣交易所,表示其安全運營中心(SOC)披露了一項詳盡調查結果,指向一場高度複雜、多階段的惡意程式活動,目標為在搜尋「Claude Code」——Anthropic 推出的 AI 驅動開發工具——的 macOS 用戶。
這份報告是首批由中心化加密貨幣交易所(CEX)公開披露,透過 AI 工具探索渠道針對開發者的主動威脅活動之一,凸顯該行業在前線網絡安全情報方面日益重要的角色。
該活動首次於 2026 年 3 月被發現,攻擊者利用搜尋引擎優化(SEO)投毒,將惡意網域提升至 Google 搜尋結果頂端。用戶被重新導向至一個偽造的安裝頁面,其設計與正規文件頁面極為相似,從而啟動兩階段攻擊鏈,重點在竊取認證資料、鎖定加密資產以及取得持續系統存取權。
初始載荷透過 Mach-O dropper 投送,部署了一個基於 osascript 的資訊竊取程式,其行為特徵與已知的 AMOS 及 Banshee 變種相似。它執行多階段混淆程序,以提取敏感資料,包括瀏覽器認證、macOS 鑰匙圈條目、Telegram 工作階段、VPN 設定檔及加密貨幣錢包資訊。Bybit 研究人員識別出攻擊者針對逾 250 個瀏覽器錢包外掛程式及多個桌面錢包應用程式發動存取嘗試。
第二階段載荷引入一個以 C++ 編寫的後門,具備進階逃避偵測能力,包括沙盒偵測及加密的執行時期設定。該惡意程式透過系統層級代理建立常駐機制,並透過基於 HTTP 的輪詢執行遠端指令,使攻擊者得以持續控制已被入侵的裝置。
Bybit 的 SOC 在整個惡意程式分析生命週期中廣泛運用 AI 輔助工作流程,在維持分析深度的同時,大幅縮短了回應時間。對 Mach-O 樣本的初步分級與分類在數分鐘內完成,模型迅速標記出其行為與已知惡意程式家族的相似之處。
AI 輔助的逆向工程與控制流程分析,將對第二階段後門進行深度檢視的預估時間,從約六至八小時縮短至不足 40 分鐘。同時,自動化的提取管線識別出多項入侵指標(IOC)——包括指揮與控制基礎設施、檔案簽章和行為模式——並將其映射至既有威脅框架。
這些能力令偵測措施得以於同日部署。AI 輔助的規則產生流程,支援威脅特徵碼與端點偵測規則的建立,之後由分析師驗證,再推送至生產環境。AI 產生的報告初稿進一步縮短了交付時間,使威脅情報輸出相較傳統流程約快 70% 完成定稿。
「作為首批公開記錄此類惡意程式活動的加密貨幣交易所之一,我們相信共享這些發現,對於強化整個行業的集體防禦至關重要。」Bybit 集團風險控制與安全負責人 David Zong 表示。「我們的 AI 輔助 SOC 讓我們可以在單一運營視窗內,從偵測推進至完整殺傷鏈視野。過去需要多班次分析團隊共同完成的工作——反編譯、IOC 提取、報告撰寫、規則制定——現在在單一工作階段內完成,由 AI 承擔大量運算與處理,我們的分析師則提供判斷與驗證。展望未來,我們將面對一場 AI 戰爭,以 AI 抵禦 AI 將成為不可逆轉的趨勢。Bybit 會進一步加大在安全領域的 AI 投資,實現分鐘級威脅偵測,以及自動化、智能化的緊急應變。」
調查同時揭示多種社交工程手法,包括偽造的 macOS 密碼提示,用於驗證及快取用戶認證資料。在部分案例中,攻擊者企圖以植入木馬的版本,取代如 Ledger Live、Trezor Suite 等正規加密錢包應用程式,並將其託管於惡意基礎設施上。
該惡意程式的攻擊範圍廣泛,涵蓋 Chromium 系列瀏覽器、各類 Firefox 分支、Safari 資料、Apple 備忘錄,以及本地檔案目錄——這些位置常被用作存放敏感財務或驗證相關資料。
Bybit 識別出多個與本次活動相關的網域及指揮與控制端點,所有資源在公開披露前均已移除惡意功能(defang)。分析顯示,攻擊者倚賴間歇性 HTTP 輪詢而非持續連線,使偵測難度進一步提高。
此事件反映出一個日益明顯的趨勢:攻擊者透過操控搜尋結果來鎖定開發者,尤其是在 AI 工具走向主流採用之際。由於開發者通常掌握程式碼庫、基礎設施及金融系統的存取權限,因此仍然是極具價值的攻擊目標。
Bybit 證實,其於 3 月 12 日識別出相關惡意基礎設施,並於同日完成全盤分析、緩解及偵測部署措施。公開披露則於 3 月 20 日進行,同步發布詳細偵測指引。
#Bybit / #CryptoArk / #NewFinancialPlatform
關於 Bybit
Bybit 是按交易量計算的全球第二大加密貨幣交易所,為全球逾 8,000 萬用戶社群提供服務。自 2018 年成立以來,Bybit 致力於在去中心化世界重塑開放精神,為所有人打造更簡單、開放且平等的生態系統。Bybit 對 Web3 保持高度專注,並與頂尖區塊鏈協議展開策略合作,提供穩健的基礎設施並推動鏈上創新。憑藉安全託管、多元市場、直覺的使用者體驗與先進區塊鏈工具,Bybit 成為連接傳統金融(TradFi)與去中心化金融(DeFi)的橋樑,協助建設者、創作者及愛好者釋放 Web3 的全部潛力。立即前往 Bybit.com 探索去中心化金融的未來。
如欲了解更多 Bybit 資訊,請瀏覽 Bybit Press
媒體查詢請聯絡: [email protected]
最新動態請關注: Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
