Bybit,全球按交易量計算第二大的加密貨幣交易所,表示其安全營運中心(SOC)揭露並通報了一起精心設計的多階段惡意軟體行動,鎖定的是在搜尋「Claude Code」的 macOS 使用者;「Claude Code」是 Anthropic 推出的 AI 驅動開發工具。
此報告是首批由中心化加密貨幣交易所(CEX)公開、且鎖定開發者並透過 AI 工具搜尋管道散播的主動威脅行動之一,凸顯加密產業在前線網路安全情報上的日益關鍵角色。
該行動於 2026 年 3 月首次被發現,攻擊者利用搜尋引擎最佳化(SEO)投毒,將惡意網域推升至 Google 搜尋結果前列。使用者會被重新導向至一個偽造的安裝頁面,頁面外觀與正式文件極為相似,進而觸發兩階段攻擊鏈,重點在於竊取憑證、鎖定加密資產,以及維持對系統的持久存取。
第一階段的惡意載荷透過 Mach-O 丟棄程式(dropper)投遞,部署一個以 osascript 為基礎的資訊竊取程式,其特徵與已知的 AMOS 和 Banshee 家族變種相似。該程式會執行多階段混淆流程,以擷取敏感資料,包括瀏覽器憑證、macOS 金鑰圈(Keychain)條目、Telegram 工作階段、VPN 設定檔與加密貨幣錢包資訊。Bybit 研究人員發現,攻擊者嘗試鎖定存取超過 250 種以瀏覽器為基礎的錢包擴充功能以及多款桌面錢包應用程式。
第二階段載荷則引入一個以 C++ 撰寫的後門程式,具備進階逃避偵測能力,包括沙盒偵測與加密的執行時期設定。惡意軟體透過系統層級的代理項目建立持久性,並透過基於 HTTP 的輪詢機制遠端執行指令,使攻擊者能長期控制被入侵的裝置。
Bybit 的 SOC 在整個惡意軟體分析生命週期中廣泛運用 AI 協助的工作流程,在維持分析深度的同時,大幅縮短了回應時間。對該 Mach-O 樣本的初步分級與分類在數分鐘內即完成,模型標記出其行為與已知惡意軟體家族的相似性。
AI 協助的逆向工程與控制流程分析,將深入檢視第二階段後門所需的時間,從原本預估的 6 至 8 小時縮短至 40 分鐘以內。同時,自動化萃取管線識別出多項入侵指標(IOC),包括指揮控制(C2)基礎設施、檔案特徵與行為模式,並將其對應至既有的威脅架構。
這些能力讓偵測措施得以在同一天內完成部署。AI 協助的規則產生流程支援建立威脅特徵與終端偵測規則,由分析人員驗證後再推送至實際環境。AI 產生的報告草稿進一步縮短了交付時間,讓威脅情報輸出比傳統工作流程快約 70% 完成。
「身為首批公開紀錄此類惡意軟體行動的加密貨幣交易所之一,我們認為分享這些發現,對強化整個產業的共同防禦至關重要。」Bybit 集團風控與安全負責人 David Zong 表示。「我們以 AI 協助的 SOC,讓我們能在單一作業視窗內,從偵測一路看到完整攻擊鏈。過去需要多班次分析團隊合作才能完成的工作——反編譯、IOC 萃取、報告撰寫、規則制定——如今在單一工作階段內就能完成,由 AI 承擔大量繁重作業,而分析人員則專注於判斷與驗證。」
調查同時揭露了多種社交工程手法,包括偽造的 macOS 密碼提示,用以驗證並快取使用者憑證。在部分案例中,攻擊者嘗試以植入後門的惡意版本,取代合法的加密貨幣錢包應用程式,例如 Ledger Live 與 Trezor Suite,這些惡意版本皆架設於惡意基礎設施上。
此惡意軟體鎖定的環境範圍廣泛,包括以 Chromium 為基礎的瀏覽器、各種 Firefox 變體、Safari 資料、Apple 備忘錄,以及常用來儲存敏感財務或驗證資料的本機檔案目錄。
Bybit 辨識出多個與該行動相關的網域與指揮控制端點,目前皆已「去武器化」後公開,以避免持續造成危害。分析顯示,攻擊者仰賴間歇性的 HTTP 輪詢,而非持續連線,使得偵測難度提高。
此事件反映出一項日益明顯的趨勢:攻擊者藉由操控搜尋結果鎖定開發者,尤其是在 AI 工具逐漸普及之際。由於開發者往往能存取程式碼庫、基礎設施及金融系統,因此仍是高價值目標。
Bybit 確認於 3 月 12 日識別出相關惡意基礎設施,並在同日完成全案分析、緩解措施與偵測部署。公開揭露則於 3 月 20 日進行,並同步發布詳細的偵測指引。
#Bybit / #CryptoArk / #NewFinancialPlatform
關於 Bybit
Bybit 是全球按交易量計算第二大的加密貨幣交易所,服務遍布全球、超過 8,000 萬名使用者。Bybit 成立於 2018 年,在去中心化世界中重新定義「開放」,致力打造更簡單、開放且公平的生態系統。Bybit 對 Web3 具高度戰略布局,並與頂尖區塊鏈協議深度合作,提供穩健基礎設施並推動鏈上創新。Bybit 以其安全託管、多元交易市場、直覺化使用者體驗與先進區塊鏈工具聞名,在傳統金融(TradFi)與去中心化金融(DeFi)之間搭起橋樑,協助建構者、創作者與愛好者釋放 Web3 的全部潛能。探索去中心化金融的未來,請造訪 Bybit.com。
如需更多 Bybit 資訊,請造訪 Bybit Press
媒體聯絡信箱: [email protected]
最新動態請追蹤: Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
