Bybit,按交易量计全球第二大加密货币交易所,报告称其安全运营中心(SOC)披露了一起复杂的多阶段恶意软件攻击活动,目标是搜索“Claude Code”(Anthropic 出品的一款 AI 驱动开发工具)的 macOS 用户。
该报告是由中心化加密货币交易所(CEX)首次公开披露之一,聚焦针对开发者、通过 AI 工具发现渠道发动的活跃威胁行动,凸显该行业在前线网络安全情报中的日益重要角色。
该攻击活动最早于 2026 年 3 月被发现,攻击者利用搜索引擎优化(SEO)投毒手法,将恶意域名推至 Google 搜索结果顶部。用户会被重定向到一个伪造的安装页面,其设计与合法文档高度相似,从而触发一个两阶段攻击链,重点围绕凭证窃取、加密资产攻击以及对系统的持续访问。
首个载荷通过 Mach-O 投放器交付,部署了基于 osascript 的信息窃取程序,其特征与已知的 AMOS 和 Banshee 变种相似。它执行多阶段混淆序列,以提取包括浏览器凭证、macOS 钥匙串条目、Telegram 会话、VPN 配置以及加密货币钱包信息在内的敏感数据。Bybit 研究人员识别到该恶意软件对 250 余款基于浏览器的钱包扩展以及多款桌面钱包应用发起了定向访问尝试。
第二阶段载荷引入了一个基于 C++ 的后门,具备高级规避能力,包括沙盒检测和加密的运行时配置。该恶意软件通过系统级代理建立持久化,并通过基于 HTTP 轮询的方式实现远程命令执行,使攻击者得以长期控制被攻陷的设备。
Bybit 的 SOC 在整个恶意软件分析生命周期中充分利用 AI 辅助工作流,在保持分析深度的同时显著加速了响应时间。对该 Mach-O 样本的初步分级和分类在数分钟内即告完成,模型成功标记出其与已知恶意软件家族在行为上的相似性。
AI 辅助的逆向工程与控制流分析,将对第二阶段后门进行深度审查所需的时间,从原本预计的 6–8 小时缩短到不足 40 分钟。同时,自动化提取流水线识别出一系列入侵指标(IOC),包括指挥控制基础设施、文件特征以及行为模式,并将其映射到既有的威胁框架中。
这些能力使得防护措施得以在同一天内完成部署。AI 辅助的规则生成支持创建威胁特征库和终端检测规则,由分析师验证后推送至生产环境。AI 生成的报告初稿进一步缩短了交付时间,使威胁情报产出相比传统流程提速约 70%。
“作为首批公开记录此类恶意软件攻击活动的加密货币交易所之一,我们认为分享这些发现对于强化整个行业的集体防御至关重要。”Bybit 集团风控与安全负责人 David Zong 表示。“我们的 AI 辅助 SOC 让我们能够在同一操作窗口内,从发现攻击到全面掌握攻击杀伤链全景。过去需要多班次分析师团队完成的工作——反编译、IOC 提取、报告撰写、规则制定——如今可以在一次会话中完成,由 AI 负责大部分繁重工作,而我们的分析师负责判断与验证。”
调查还发现了社会工程策略,包括用于验证和缓存用户凭证的伪造 macOS 密码弹窗。在某些情况下,攻击者尝试将 Ledger Live、Trezor Suite 等合法加密钱包应用替换为托管在恶意基础设施上的木马化版本。
该恶意软件针对的环境范围广泛,包括基于 Chromium 的浏览器、Firefox 变种、Safari 数据、Apple 备忘录,以及常被用于存储敏感金融或认证数据的本地文件目录。
Bybit 识别出多个与该攻击活动相关的域名和指挥控制端点,目前均已在公开披露中“去武装化”处理。分析表明,攻击者依赖间歇性的 HTTP 轮询而非持续连接,从而增加了检测难度。
这一事件反映出攻击者日益倾向于通过操纵搜索结果来针对开发者,尤其是在 AI 工具步入主流的背景下。由于开发者通常能接触到代码库、基础设施以及金融系统,他们依然是极具价值的攻击目标。
Bybit 确认,其于 3 月 12 日识别出相关恶意基础设施,并在同日内完成了全面分析、缓解与检测部署。3 月 20 日,Bybit 对外发布了公开披露以及详细的检测指导。
#Bybit / #CryptoArk / #NewFinancialPlatform
关于 Bybit
Bybit 是按交易量计全球第二大加密货币交易所,服务全球超过 8000 万用户。自 2018 年成立以来,Bybit 致力于在去中心化世界中重新定义开放性,为所有人打造一个更简单、开放且公平的生态系统。Bybit 高度聚焦 Web3,与领先区块链协议开展战略合作,提供稳健基础设施并推动链上创新。凭借安全托管、多元化市场、直观的用户体验以及先进的区块链工具,Bybit 架起传统金融(TradFi)与去中心化金融(DeFi)之间的桥梁,帮助建设者、创作者与爱好者释放 Web3 的全部潜力。在 Bybit.com 探索去中心化金融的未来。
如需了解有关 Bybit 的更多信息,请访问 Bybit Press
媒体垂询,请联系:[email protected]
获取最新动态,请关注:Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
