在新聞稿「Bybit Uncovers AI-Assisted macOS Malware Campaign Targeting Users Searching for Claude Code」中,由 Bybit 於 2026 年 4 月 21 日透過 PR Newswire 發佈,現由公司通知標題與第九段已更新。以下為完整更正後版本:
AI 驅動的 Bybit 安全部門揭露鎖定搜尋 Claude Code 的 macOS 惡意程式攻擊行動
阿拉伯聯合大公國杜拜,2026 年 4 月 21 日 /PRNewswire/ -- Bybit,以交易量計全球第二大加密貨幣交易所,表示其安全營運中心(SOC)公布了一項調查結果,詳述一場精心設計、分多階段執行的惡意程式攻擊行動,目標為搜尋「Claude Code」的 macOS 使用者;Claude Code 為 Anthropic 推出的 AI 驅動開發工具。
這份報告是中心化加密貨幣交易所(CEX)首次披露透過 AI 工具發掘管道鎖定開發者的主動威脅行動之一,凸顯該產業在前線網路安全情報中扮演愈來愈關鍵的角色。
此攻擊行動最早於 2026 年 3 月被發現,攻擊者利用搜尋引擎最佳化(SEO)投毒,將惡意網域推升至 Google 搜尋結果前列。使用者被重新導向至一個偽造的安裝頁面,其設計與合法文件高度相似,進而觸發兩階段攻擊鏈,聚焦於憑證竊取、加密資產鎖定以及持續性系統存取。
初始植入程式透過 Mach-O dropper 投遞,部署一個以 osascript 為基礎的資訊竊取程式,其特徵與已知 AMOS 與 Banshee 變種類似。該程式執行多階段混淆程序,以擷取敏感資料,包括瀏覽器憑證、macOS 鑰匙圈條目、Telegram 工作階段、VPN 設定檔,以及加密貨幣錢包資訊。Bybit 研究人員辨識出超過 250 個以上瀏覽器錢包延伸功能與多個桌面錢包應用程式遭到鎖定嘗試。
第二階段載荷則引入一個以 C++ 撰寫的後門程式,具備進階逃避能力,包括沙盒偵測與加密的執行階段設定。此惡意程式透過系統層級代理程式建立持久性,並透過基於 HTTP 輪詢的方式執行遠端指令,使攻擊者得以持續控制已遭入侵的裝置。
Bybit 的 SOC 在整個惡意程式分析生命週期中,皆運用 AI 協助的作業流程,在維持分析深度的同時,大幅加速回應時間。對 Mach-O 樣本的初步分級與分類在數分鐘內便完成,模型並標記出其行為與已知惡意家族的相似之處。
AI 協助的逆向工程與控制流程分析,將針對第二階段後門進行深度檢視的時間,從原估計的 6 至 8 小時縮短至 40 分鐘以內。同時,自動化擷取管線也辨識出多項入侵指標(IOC)——包括指揮與控制(C2)基礎設施、檔案特徵以及行為模式——並將其對應至既有威脅框架。
這些能力讓偵測措施得以在同一日布署。AI 協助的規則產生機制,支援威脅特徵與端點偵測規則的建立,之後再由分析人員驗證,並推送至正式環境。AI 產生的報告草稿亦進一步縮短產出時間,使威脅情報的定稿速度較傳統流程快約 70%。
「身為首批公開紀錄此類惡意程式攻擊行動的加密貨幣交易所之一,我們認為分享這些發現,對於強化整個產業的共同防禦至關重要。」Bybit 風控與安全集團負責人 David Zong 表示:「我們的 AI 協助 SOC,能讓我們在單一作業視窗內從偵測進展到完整擊殺鏈可視化。過去必須由多班次分析團隊完成的工作——反組譯、IOC 擷取、報告撰寫、規則制定——如今只需在一個工作階段內完成,由 AI 負責繁重工作,我們的分析師則提供判斷與驗證。展望未來,我們將面臨一場 AI 戰爭,以 AI 對抗 AI 將成為不可避免的趨勢。Bybit 將進一步加大在安全 AI 上的投入,達成以分鐘為單位的威脅偵測,以及自動化、智能化的緊急應變。」
調查同時揭露了社交工程手法,包括假冒的 macOS 密碼提示,用以驗證並快取使用者憑證。在部分案例中,攻擊者試圖以木馬版本取代合法的加密錢包應用程式,例如 Ledger Live 與 Trezor Suite,這些惡意版本皆架設於惡意基礎設施上。
此惡意程式鎖定了廣泛環境,包括以 Chromium 為基礎的瀏覽器、Firefox 變體、Safari 資料、Apple 備忘錄,以及本機檔案目錄——這些位置經常用來儲存敏感的金融或驗證資料。
Bybit 已識別出多個與本次行動相關的網域與指揮控制端點,並在公開前全部「去武裝化」處理。分析顯示,攻擊者依賴間歇性 HTTP 輪詢,而非持續連線,使偵測難度進一步提高。
此事件反映出一項升高中的趨勢:攻擊者透過操縱搜尋結果鎖定開發者,特別是在 AI 工具邁向主流採用之際。由於開發者通常可存取程式碼庫、基礎設施與金融系統,因此仍是極具價值的攻擊目標。
Bybit 證實,其於 3 月 12 日識別出惡意基礎設施,並在同一日內完成完整分析、緩解與偵測措施布署。公開披露則於 3 月 20 日進行,並同步提供詳細偵測指引。
#Bybit / #CryptoArk / #NewFinancialPlatform
關於 Bybit
Bybit 以交易量計為全球第二大加密貨幣交易所,服務全球超過 8,000 萬名用戶。Bybit 成立於 2018 年,致力於在去中心化世界中重新定義「開放」,為所有人打造更簡潔、開放且公平的生態系。Bybit 專注於 Web3,並與領先的公鏈協議策略合作,提供堅實的基礎設施並推動鏈上創新。憑藉安全的託管機制、多元的交易市場、直覺的使用者體驗,以及先進的區塊鏈工具,Bybit 積極銜接傳統金融(TradFi)與去中心化金融(DeFi)之間的鴻溝,協助建構者、創作者與愛好者充分釋放 Web3 的潛力。於 Bybit.com 探索去中心化金融的未來。
如需更多 Bybit 資訊,請造訪 Bybit Press
媒體洽詢請聯絡:[email protected]
最新消息請關注:Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
