币圈界报道:

macOS平台加密资产窃取攻击链深度解析

一种专为macOS设计的信息窃取型恶意软件,已形成覆盖多类敏感数据的完整攻击链条。该程序能从系统钥匙串、Safari Cookie、Apple备忘录、Telegram桌面客户端及数十种加密钱包数据库中提取关键信息,包括登录凭据、认证会话文件与钱包加密数据。

跨应用数据聚合构成复合型威胁

攻击者并非依赖单一漏洞,而是系统性地收集设备上所有可能用于身份升级的数据。通过整合本地会话、密码存储与钱包文件,攻击者可实现从初始权限获取到账户控制乃至助记词恢复的全路径渗透。这一策略使威胁远超传统密码窃取行为,尤其对同时使用多种钱包工具与即时通讯服务的用户构成致命风险。

为何复用已认证会话成为核心突破口?

该恶意软件具备复制并重建已验证的Telegram桌面会话能力,使得攻击者可在另一台设备上直接接入原账户,绕过手机号验证、短信验证码与双因素认证流程。测试显示,仅凭本地会话文件即可完成无感知登录,这意味着即使启用强双因子保护,仍可能被绕过。

对于依赖Telegram进行交易沟通、社区互动或场外交易的加密用户而言,此类会话劫持意味着身份冒充、私密信息泄露与社交工程攻击的高发风险。攻击者可借此伪装成用户,在群组内推送虚假链接,诱导他人点击,从而扩大影响范围,形成网络级扩散效应。

安全边界不应仅依赖认证机制

本次事件揭示,即便采用硬件钱包或多重验证,若本地设备已被入侵,整个安全体系仍存在根本性缺陷。一旦攻击者获得可信会话与本地凭证,即可在后台完成账户接管与钱包解密操作,使常规防护手段失效。

受波及的钱包类型与潜在目标

攻击范围涵盖Exodus、Atomic、Electrum、Wasabi和Monero等主流软件钱包,同时也针对Ledger Live与Trezor Suite等硬件钱包管理应用的数据。此外,该恶意软件还会扫描比特币核心、莱特币核心、达世币核心及狗狗币核心等全节点客户端所生成的钱包文件。

值得注意的是,攻击者还可能植入伪造版本的Ledger与Trezor应用程序,诱导用户输入助记词。此类手法不攻击硬件本身,而是利用用户在恢复环节的信任盲区,实现资产控制。一旦助记词泄露,即便硬件钱包未被破解,资产亦面临实质损失。

感染应对与长期安全建议

若怀疑设备遭感染,应立即将该Mac视为不可信终端。首要措施是强制退出所有活跃的Telegram会话,重新建立新会话,并立即更改双重验证密码与桌面端登录口令。在钱包操作层面,严禁在受污染设备上输入恢复短语、密码或硬件钱包密钥。

新生成的助记词必须在经过彻底清理的独立设备上完成,且所有资金转移应指向从未在该系统上创建过的全新地址。此事件提醒所有用户,敏感操作如交易所访问、钱包管理与恢复流程,不应集中于同一台日常办公设备。实施设备隔离策略,仅在受控环境中运行钱包应用,严格限制浏览器插件数量,并定期审查会话状态,是防范此类攻击的关键。

对交易所、钱包服务商及机构交易团队而言,此次威胁凸显了强化macOS端点安全的重要性。防御重点不应仅聚焦于协议层漏洞,而需延伸至用户终端环境管理、员工安全意识培训以及恢复流程的分层管控,真正构建起以设备信任为基础的数字资产保护体系。