在新闻稿《Bybit Uncovers AI-Assisted macOS Malware Campaign Targeting Users Searching for Claude Code》中,由 Bybit 于 2026 年 4 月 21 日通过 PR Newswire 发布,我们接到公司通知,标题和第九段已经更新。现公布完整、更正后的新闻稿如下:
Bybit AI 赋能安全团队揭露针对搜索 Claude Code 用户的 macOS 恶意软件攻击活动
阿联酋迪拜,2026 年 4 月 21 日 /美通社/ -- Bybit 作为按交易量计全球第二大加密货币交易所表示,其安全运营中心(SOC)披露了一项复杂的多阶段恶意软件攻击活动详情,该活动以搜索“Claude Code”(Anthropic 推出的 AI 驱动开发工具)的 macOS 用户为目标。
该报告是中心化加密货币交易所(CEX)首次公开披露通过 AI 工具发现渠道、针对开发者的在行动威胁活动之一,凸显了该行业在前线网络安全情报中的日益重要角色。
该攻击活动最早于 2026 年 3 月被发现,利用搜索引擎优化(SEO)投毒,将恶意域名提升至 Google 搜索结果顶部。用户被重定向到一个伪造的安装页面,其外观与合法文档高度相似,从而触发一个两阶段攻击链,重点围绕凭证窃取、加密资产攻击以及对系统的持久访问。
首个有效载荷通过 Mach-O 投放器投递,部署了基于 osascript 的信息窃取程序,其特征与已知的 AMOS 和 Banshee 变种类似。该程序通过多阶段混淆流程提取敏感数据,包括浏览器凭证、macOS 钥匙串条目、Telegram 会话、VPN 配置文件以及加密货币钱包信息。Bybit 研究人员发现,攻击者尝试访问 250 余个基于浏览器的钱包扩展和多个桌面钱包应用。
第二阶段载荷引入了一个基于 C++ 的后门,具备高级逃避能力,包括沙箱检测和加密运行时配置。该恶意软件通过系统级代理实现持久化,并通过基于 HTTP 轮询的方式远程执行命令,使攻击者能够持续控制被攻陷的设备。
Bybit 的 SOC 在整个恶意软件分析生命周期中采用 AI 辅助工作流,在保持分析深度的同时大幅缩短响应时间。对 Mach-O 样本的初步分级和归类在数分钟内完成,模型标记出了其与已知恶意软件家族在行为上的相似性。
AI 辅助的逆向工程和控制流分析,将对第二阶段后门进行深度检查的时间,从预计的 6–8 小时缩短到 40 分钟以内。同时,自动化提取流程识别出一系列入侵指标(IOC)——包括指挥控制基础设施、文件签名和行为模式——并将其映射到既有威胁框架。
这些能力使得检测措施能够在同一天完成部署。AI 辅助规则生成帮助创建威胁特征和终端检测规则,分析师对其进行验证后推送至生产环境。AI 生成的报告草稿进一步缩短了交付周期,使威胁情报产出相较传统流程提速约 70%。
“作为首批公开记录此类恶意软件攻击活动的加密货币交易所之一,我们认为共享这些发现对于加强整个行业的集体防御至关重要。”Bybit 集团风控与安全负责人 David Zong 表示,“我们的 AI 辅助 SOC 使我们能够在单一运营窗口内,从检测推进到完整的攻击链可视化。过去需要多班次分析师团队配合完成的工作——反编译、IOC 提取、报告撰写、规则编写——现在在一次会话中即可完成,由 AI 负责繁重工作,我们的分析师则提供判断和验证。展望未来,我们将面临一场 AI 之战,用 AI 对抗 AI 将成为不可逆转的趋势。Bybit 将进一步加大在安全 AI 方面的投入,实现分钟级威胁检测和自动化、智能化应急响应。”
调查还发现了社会工程手法,包括伪造的 macOS 密码提示,用于验证和缓存用户凭证。在某些情况下,攻击者尝试将 Ledger Live 和 Trezor Suite 等合法加密钱包应用替换为托管在恶意基础设施上的木马版本。
该恶意软件针对多种环境,包括基于 Chromium 的浏览器、Firefox 变种、Safari 数据、Apple 备忘录以及常用于存储敏感金融或认证数据的本地文件目录。
Bybit 识别出多个与该攻击活动相关的域名和指挥控制端点,出于公开披露安全考量,已全部进行“去武装”处理。分析显示,攻击者依赖间歇性 HTTP 轮询而非持续连接,从而增加了检测难度。
此次事件反映出攻击者越来越多地通过操纵搜索结果来锁定开发者,尤其是在 AI 工具走向主流的背景下。开发者由于掌握代码库、基础设施和金融系统的访问权限,仍然是极具价值的攻击目标。
Bybit 确认,于 3 月 12 日发现恶意基础设施,当天即完成全面分析、缓解及检测措施部署。3 月 20 日对外公开披露,并同步发布详细检测指引。
#Bybit / #CryptoArk / #NewFinancialPlatform
关于 Bybit
Bybit 是按交易量计全球第二大加密货币交易所,为超过 8000 万全球用户社区提供服务。自 2018 年成立以来,Bybit 致力于在去中心化世界中重新定义开放,通过打造更简单、开放和平等的生态系统,让每个人都能参与其中。Bybit 高度聚焦 Web3,与领先区块链协议建立战略合作,提供强大的基础设施并推动链上创新。凭借安全托管、多元化市场、直观的用户体验和先进的区块链工具,Bybit 架起了传统金融(TradFi)与去中心化金融(DeFi)之间的桥梁,帮助建设者、创作者和爱好者释放 Web3 的全部潜能。探索去中心化金融的未来,请访问 Bybit.com。
欲了解更多 Bybit 相关信息,请访问 Bybit Press
媒体垂询,请联系:[email protected]
获取最新动态,请关注:Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
