摘要:全球第二大加密货币交易所Bybit首次公开披露针对macOS开发者的高级持续性威胁活动,该攻击以AI工具搜索为入口,通过搜索引擎投毒实施多阶段渗透,利用AI加速分析响应,凸显开发者生态在数字资产安全中的关键地位。
币圈界报道:
Bybit揭示针对开发者群体的新型恶意软件攻击路径
作为全球交易量排名第二的加密货币平台,Bybit安全运营中心发布深度报告,揭示一场以人工智能开发工具搜索行为为诱饵的复杂恶意软件攻击。该行动聚焦于macOS用户,特别是技术开发者,利用其对新兴AI工具的高度依赖实施精准打击。
搜索投毒驱动的两阶段入侵机制
攻击始于2026年3月,攻击者运用搜索引擎优化污染手段,将伪造域名推至谷歌搜索前列。当用户点击相关结果时,会被引导至高度仿冒官方文档的安装界面,从而触发一个精心设计的双阶段攻击流程,核心目标包括窃取身份凭证、锁定加密资产以及建立系统持久控制权。
恶意载荷架构与数据窃取能力解析
初始阶段通过一个Mach-O格式释放器部署基于osascript的信息收集组件,其行为模式与已知的AMOS及Banshee家族变种高度一致。该模块采用多层混淆策略,用于提取浏览器登录凭据、macOS钥匙串内容、Telegram聊天记录、VPN配置文件以及超过250种主流浏览器钱包扩展和桌面钱包应用的数据。
第二阶段引入一个用C++编写的后门程序,具备沙箱检测规避、加密运行时配置等高级隐蔽特性。它通过系统级代理实现持久驻留,并支持基于HTTP轮询的远程指令接收,使攻击者可长期维持对受感染设备的操控。
AI赋能的安全分析提速实践
在整个调查过程中,安全团队整合了人工智能驱动的工作流,在保障分析精度的前提下大幅提升响应效率。对首个Mach-O样本的初步分类仅耗时数分钟,AI模型迅速识别出其与既有恶意家族的相似行为特征。
借助AI辅助逆向工程与控制流分析,第二阶段后门的深入审查时间由原预计的6至8小时压缩至40分钟以内。自动化数据提取管道同时识别出命令与控制基础设施、文件签名特征及典型行为模式,并完成与现有威胁框架的关联映射。
上述成果促成当日即部署防御措施。AI生成的规则建议经人工验证后投入生产环境,而自动生成的情报草案使整体输出周期相较传统流程缩短约70%。
攻击趋势与行业防护启示
调查显示,攻击者还使用伪装成系统提示的虚假密码输入框,用于诱导用户提交凭证。部分案例中,合法的钱包应用如Ledger Live与Trezor Suite被替换为嵌入木马功能的恶意版本,部署于攻击者控制的服务器上。
攻击范围覆盖各类主流浏览器(含Chromium系、Firefox及Safari)、苹果备忘录服务以及存放敏感财务信息的本地文件夹。值得注意的是,攻击者采用间歇性HTTP轮询而非常连接通信,显著提升检测难度。
此次事件反映出攻击者正日益依赖搜索引擎操纵手段,瞄准具有高权限访问能力的技术人员,尤其在人工智能工具普及背景下,开发者已成为极具价值的目标群体。所有分析结论、缓解方案与检测规则已于发现当日全面完成并对外公布,旨在推动全行业防御体系升级。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。