摘要:Bybit安全团队利用AI技术揭露针对macOS用户的复杂多阶段恶意软件活动,该攻击借由伪装成Claude Code安装页面诱导开发者下载,旨在窃取凭证与加密资产。事件凸显AI驱动防御在现代威胁应对中的关键作用。
币圈界报道:
Bybit安全中心首次公开披露基于AI工具的定向攻击链
2026年4月21日,全球交易量排名第二的加密货币交易所Bybit发布报告,揭示其安全运营中心侦测到一起高度隐蔽、分阶段实施的恶意软件攻击,目标直指搜索Anthropic公司AI编程工具“Claude Code”的macOS用户群体。
攻击者借搜索优化投毒诱导用户访问仿冒安装页
该攻击最早于2026年3月被识别,攻击方通过搜索引擎优化手段,将恶意域名推至谷歌搜索结果前列。用户点击后被重定向至外观高度仿真的伪造安装界面,诱导其下载伪装为官方工具的恶意程序,从而触发两阶段攻击流程,核心目标包括窃取账户凭据、加密资产及建立持久系统控制权。
首阶段载荷释放信息窃取模块,覆盖多种敏感数据源
初始执行体以Mach-O格式注入,通过释放器部署基于osascript的窃密组件,行为特征与已知的AMOS和Banshee家族变种一致。该模块采用多层混淆策略,用于提取浏览器登录信息、macOS钥匙串内容、Telegram聊天记录、VPN配置以及多个桌面钱包和浏览器扩展插件中的私钥数据,覆盖超过250个钱包插件与主流桌面应用。
第二阶段植入高级后门,实现远程持久控制
后续载荷引入基于C++编写的后门程序,具备沙箱检测规避能力与加密运行时配置机制。该恶意程序通过系统级代理实现开机自启,并支持基于HTTP轮询的指令接收功能,使攻击者可长期维持对受感染设备的远程操控权限。
AI辅助分析大幅压缩威胁响应周期
在整个分析过程中,安全团队采用集成式AI工作流,显著提升处置效率。对Mach-O样本的初步分类仅耗时数分钟,AI模型即识别出其与已知恶意家族的行为共性。借助自动化逆向工程与控制流分析,第二阶段后门的深度检测时间从原预计6至8小时缩短至40分钟以内。
自动化指标提取助力快速部署防御措施
AI驱动的提取管道成功识别出指挥控制基础设施、文件签名模式及典型行为特征,并将其映射至现有威胁情报框架。由此生成的威胁规则与端点检测策略经验证后迅速投入生产环境。同时,AI自动生成的报告初稿使整体情报输出速度较传统流程提升约70%。
行业领先防御实践推动安全闭环建设
集团风险控制与安全负责人表示:“作为首批对外披露此类攻击的中心化交易所之一,我们坚信信息共享是强化全行业防御体系的关键。我们的AI赋能安全中台实现了从威胁发现到攻击链可视化的一站式闭环处理。过去需跨班次完成的反编译、指标提取、报告撰写与规则编写任务,如今可在一次会话中由分析师主导、AI承担繁重计算完成。未来将是AI对抗AI的时代,我们必须加大在智能安全领域的投入,迈向分钟级检测与自动化应急响应。”
社会工程手段升级,伪造系统提示诱导信任
调查还发现,攻击者使用虚假macOS密码弹窗进行凭证缓存与身份验证欺骗。部分案例中,恶意代码被嵌入伪装成合法钱包应用的木马版本,企图替换用户本地安装的可信程序。
攻击范围覆盖主流应用与敏感数据存储路径
该恶意软件影响范围广泛,涵盖Chromium系浏览器、Firefox变种、Safari数据、Apple Notes内容,以及存放财务与认证信息的本地文件夹目录。
基础设施已清除,检测方案全面上线
研究人员确认了与本次攻击相关的多个域名及指挥控制节点,均已完成无害化处理并公开披露。分析显示,攻击者采用间歇性HTTP轮询而非持续连接,增加了监测难度。此次事件表明,攻击者正日益依赖搜索结果操纵技术,精准打击高价值开发者群体,尤其在AI工具普及背景下,其潜在影响力持续上升。
威胁响应与情报发布同步完成
相关恶意基础设施于3月12日被发现,当日即完成全面分析、缓解措施制定与检测规则部署。详细的技术应对指南已于3月20日随事件报告正式发布,供安全社区参考。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。