摘要:卡巴斯基与慢雾科技联合警示:新型恶意软件通过伪装成招聘任务和合法代码仓库,针对加密货币持有者及开发者实施精准攻击。攻击者利用信任链与日常开发流程传播木马,窃取钱包文件与敏感凭证,威胁数字资产安全。

币圈界报道:
加密生态遭定向狙击:恶意软件借招聘与代码测试渗透开发者体系
网络安全机构近期披露两起针对加密货币相关人群的高级持续性威胁事件。卡巴斯基发现名为OkoBot的新型恶意软件框架,具备多阶段数据窃取能力,专攻钱包持有者与区块链从业者;与此同时,慢雾科技揭露一桩以领英为渠道的招聘式钓鱼行动,攻击者通过伪装技术面试任务诱导开发者执行恶意代码,实现系统控制。
恶意框架演化升级,隐蔽性强于传统攻击
OkoBot被证实为早期TookPS攻击活动的进阶形态,自2026年1月起频繁现身。其核心特征在于结合社会工程诱导与动态载荷调度机制,通过特洛伊化GitHub应用或点击即执行类指令启动感染链。一旦渗透成功,该框架可自动捕获浏览器会话、提取登录凭据、窃取加密钱包文件,并注入恶意扩展程序,进而实现对用户账户的远程操控。
SSH隧道架构支撑远程数据回传,攻击者掌控力增强
与传统静态部署不同,OkoBot采用基于SSH协议的动态通信通道,统一管理全部20个恶意组件的运行与数据传输。这种设计使攻击者能够在入侵后根据目标环境实时调整策略,确保关键信息如私钥、助记词和交易记录能高效回传至控制端,显著提升了攻击效率与隐蔽性。
假招聘真陷阱:开发者在面试流程中落入代码陷阱
慢雾科技指出,攻击者正将领英作为主要接触点,以“Web3岗位预面试”为由发送伪装成最小可行产品的GitHub仓库链接。这些项目看似真实,实则嵌入后门代码。由于开发者在准备技术评估时习惯性拉取、安装并运行代码,极容易在无防备状态下完成恶意操作,从而为攻击者打开系统入口。
目标明确:窃取密钥与云凭证,构建持久访问权限
此类攻击最终目的并非单一数据窃取,而是植入完整远程访问木马,用于长期潜伏。一旦得手,攻击者可获取项目私钥、服务器访问权限、云服务密钥以及与钱包扩展相关的认证信息,形成对整个开发生态的深度渗透。慢雾科技强调,这已演变为一种系统性战术——利用开发者在协作、审查与部署中的自然行为模式,制造高可信度的入侵路径。
防御边界重构:信任链条成为新风险源
随着攻击手法从直接诱骗转向场景化伪装,未来安全防线必须重新定义“可信来源”。无论是来自招聘方的消息、第三方代码库还是内部协作工具,均需引入双重验证机制。专家建议:所有外部代码应隔离执行,所有远程会话需启用多因素认证,且对异常网络行为保持高度警觉,以防攻击者借信任之名绕过防护体系。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。
