卡巴斯基警告针对加密货币投资者的恶意软件框架

网友贡献3小时前发布 领域OK
2 0 0

 风险提示:防范以"数字货币""区块链"名义进行非法集资的风险

领域OK报道:

欧易
欧易(OKX)

全球三大交易所之一,注册领50U数币盲盒,币圈常用的交易平台!

币安
币安(Binance)

币安是世界领先的数字货币交易平台,注册领100U。

两份网络安全报告揭示加密货币恶意软件新趋势:攻击者不再仅依赖钓鱼邮件

两份独立的网络安全报告指出,与加密货币相关的恶意软件正呈现出一个日益明显的趋势:攻击者不再仅仅依赖明显的网络钓鱼邮件。相反,他们正逐渐渗透到人们日常使用的工作流程中——包括招聘渠道、开发者代码测试以及钱包相关的软件行为。

卡巴斯基表示,他们发现了一个名为“OkoBot”的加密货币恶意软件框架。该框架通过社会工程学、恶意命令以及被木马化的GitHub应用程序来启动感染链。与此同时,慢雾科技描述了一场针对Web3开发者的攻击活动:该活动始于领英上虚假的招聘信息,最终以提供远程访问权限的恶意代码仓库告终。

核心要点

卡巴斯基将OkoBot框架与钱包盗窃活动联系起来,包括窃取钱包文件以及捕获浏览器和凭据数据。据卡巴斯基报告,OkoBot通过注入恶意浏览器扩展程序并收集钱包应用程序窗口来窃取资产。慢雾科技警告称,攻击者正利用虚假的“招聘”信息诱骗开发者运行那些看似是正常面试任务的恶意GitHub仓库。慢雾科技表示,该活动的目标是植入一个远程访问木马,用于窃取项目密钥、云服务或钱包扩展数据。两份报告都强调了社会工程学路径——类似ClickFix的伎俩或针对开发者的协作场景——使得这些攻击更难被察觉。

卡巴斯基:OkoBot通过窃取钱包和凭据来瞄准加密货币投资者

在本周发布的一份报告中,卡巴斯基将OkoBot描述为一个恶意软件框架,旨在通过多阶段的入侵链条来破坏加密货币投资者的系统。第一步并非纯粹的技术手段,而是依赖于社会工程学方法,诱使受害者采取行动。根据卡巴斯基的说法,初始访问可能来自诸如ClickFix之类的策略,该技术旨在诱骗用户运行恶意命令。或者,攻击者也可能通过分发被木马化的GitHub应用程序来达到类似效果,这些应用程序在安装后会包含后门。

卡巴斯基表示,在获得立足点后,OkoBot具备了专门针对加密货币用户及其系统的能力。该恶意软件可以窃取加密货币钱包文件、收集浏览器数据和用户凭据,并通过注入恶意扩展程序来操纵受害者的环境。据报道,它还能捕获钱包应用程序窗口,这比单纯窃取凭据更能让攻击者直接获取被盗资产。卡巴斯基补充说,自2026年1月以来,他们已经观察到多起涉及OkoBot恶意软件家族的袭击,这表明该框架并非一次性行动,而是一场持续活跃的活动的一部分。

从TookPS演变而来:更强的编排能力,更大的影响范围

卡巴斯基还将OkoBot描述为先前威胁的演变版本。该公司表示,该恶意软件框架是从“TookPS”演变而来,后者是2025年首次发现的一场活动,通过虚假软件网站分发木马下载器。这一早期阶段之所以重要,是因为它标志着攻击者如何交付和管理恶意载荷的演进过程:从最初的欺骗和下载,转变为更具结构化的入侵流程。卡巴斯基报告中提及的一个独特操作细节是OkoBot如何管理其载荷。报告指出,它通过SSH隧道编排所有20个恶意载荷,允许将受感染计算机的数据远程传输到攻击者控制的基础设施。

对于投资者和防御者来说,这种设计选择之所以重要,是因为它可能使事件响应变得复杂。通过SSH隧道的数据外泄可能会与正常的加密流量模式混合在一起,而多载荷架构则意味着受害者可能不会看到一个明显的单一“程序”对损害负责。

慢雾科技:虚假的领英招聘和“面试前试用”的代码仓库

在另一份报告中,慢雾科技描述了另一种恶意软件投放方式:它通过将攻击伪装成招聘来瞄准Web3开发者。慢雾科技表示,攻击者并非向受害者发送通用的网络钓鱼链接,而是通过领英联系开发者,并伪装成Web3招聘人员。攻击者随后会指示受害者下载并运行来自虚假GitHub仓库的代码。诱饵被包装成一个看似真实的招聘流程:该仓库被呈现为一个“最小可行产品”,要求开发者在面试前试用,这与技术筛选的常见做法非常吻合。

慢雾科技指出,这个工作流程看起来和感觉都像是一个真实的面试任务:开发者需要拉取代码、安装依赖项并启动项目。这种相似性是攻击难以被检测到的关键因素——因为可能没有明显迹象表明一个“立即试用”的任务实际上是被武器化的。

远程访问木马的目标:密钥、凭据和扩展数据

根据慢雾科技的说法,这种领英加GitHub策略的最终目标是在受害者的设备上植入一个完整的远程访问木马。慢雾科技表示,一旦安装成功,攻击者就可以窃取与Web3工作相关的敏感信息,包括项目密钥、云凭据或钱包扩展数据。慢雾科技还强调,这并非孤立的策略。该报告认为,攻击者正在越来越多地利用那些鼓励开发者运行代码的场景——例如招聘任务、代码审查和项目协作——将正常的职业行为转变为感染媒介。

值得注意的是,慢雾科技的这份报告发布之际,正值一系列更广泛的近期警告。该安全公司此前也曾就另一起针对macOS用户的恶意软件活动发出警告,该活动旨在窃取凭据、劫持Telegram会话,并最终通过虚假网站胁迫受害者输入钱包恢复短语。对于读者和构建者来说,这两份报告的共同点是一样的:攻击者正在将他们的入侵行为校准到人们最有可能点击“运行”、安装或测试代码的时刻——无论是在领英上收到招聘人员的消息之后,还是在看到一个看似合法的GitHub工具的“应用程序”之后。接下来需要关注的是,这些攻击活动是否会扩展到更标准化的开发者工具,以及更自动化的账户级入侵,因为卡巴斯基和慢雾科技描述的活动看起来都是有组织、迭代进行的,而非零星的。

© 版权声明

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
none
暂无评论...