“暗剑”漏洞链现形：跨境攻击瞄准加密资产持有者

谷歌安全团队揭示了一条针对未修复漏洞的苹果iOS设备的复杂攻击链条，代号为“暗剑”。该链条被用于部署专攻加密货币应用数据窃取的恶意程序，且在多个地理区域持续活跃。

漏洞链覆盖高危版本，攻击路径隐蔽高效

此次攻击影响范围涵盖iOS 18.4至18.7版本的设备，利用六个已知或未知的安全缺陷实现权限提升。攻击者通过诱导用户访问恶意或已被入侵的网站，触发漏洞利用过程，并植入名为Ghostblade的JavaScript驱动型数据采集工具。

目标明确：聚焦主流加密生态与敏感信息

Ghostblade在感染后立即扫描设备中常见的数字资产平台，包括Coinbase、币安、Kraken、Kucoin、OKX和MEXC等交易所应用，以及Ledger、Trezor、MetaMask、Exodus、Uniswap、Phantom和Gnosis Safe等硬件与软件钱包。

其收集范围不仅限于账户凭证，还包括短信与iMessage内容、通话记录、联系人列表、保存的Wi-Fi密码，以及Safari浏览器中的登录凭证、浏览历史和存储的密码。

深度渗透：跨平台通讯与隐私数据同步提取

恶意软件进一步获取Telegram与WhatsApp的聊天记录、位置轨迹、健康状况数据及本地存储的照片文件。完成信息收割后，程序会主动清除临时文件并终止自身运行，不留持久化痕迹。

多国联动攻击暴露地缘性威胁图景

在沙特阿拉伯，攻击者以伪装成Snapchat的虚假应用作为传播载体，将“暗剑”攻击注入存在漏洞的设备，相关行为被关联至试图获取加密资产情报的实体。

乌克兰境内的攻击则依托被劫持的政府域名网站实施，当用户访问受控页面时，漏洞利用代码自动激活，完成初始植入。

研究人员指出，此攻击策略注重瞬时数据攫取而非长期潜伏，具备高度隐蔽性和去痕迹能力，表明攻击者追求快速变现而非长期监控。

同类事件频发，安全警钟再响

此前，Inferno Drainer曾在半年内盗取超九百万美元的加密资产；另有多起案例涉及预装恶意软件的假冒安卓手机，显示针对数字财富的攻击正不断升级。

谷歌已确认，安装了官方补丁的设备可有效抵御该攻击链。公司呼吁所有用户尽快更新至最新安全版本，以防范潜在威胁。本次发现标志着“暗剑”与Ghostblade组合攻击的最新实证活动。