“幽灵爪”恶意软件悄然渗透：苹果开发者加密资产遭重创

一款名为“幽灵爪”的新型恶意程序正针对苹果操作系统上的加密钱包实施定向攻击。该病毒以开源命令行工具为伪装，在安装后即开始窃取用户私钥、钱包访问权限及其他核心敏感信息。

潜伏一周感染178名开发者：虚假安装包藏匿于平台

该伪造安装包于3月3日由同名账户上传至主流软件注册平台，持续存在长达七天，直至3月10日才被下架，期间已成功感染178名开发者。尽管外观似正版命令行工具，实则执行多阶段网络入侵流程。

其核心功能包括从受控设备中提取加密钱包数据、系统密钥链密码、云服务登录凭证、SSH密钥以及人工智能代理配置文件。凭借这些信息，攻击者可全面接管开发者的云端资源、代码仓库与数字资产。

三秒扫描剪贴板：实时窃取私钥与助记词

恶意程序每三秒对系统剪贴板进行一次扫描，精准捕获私钥、助记词、公钥等关键加密信息，尤其聚焦于钱包交易相关文本。当用户运行安装指令时，隐藏脚本会自动在全局环境中部署恶意组件，并通过混淆配置文件规避主流安全检测机制。

虚假安装界面诱导用户通过系统密钥链输入管理员密码，恶意软件利用原生系统工具完成验证后，立即从远程服务器下载第二阶段载荷——“幽灵加载器”。此模块兼具数据外泄与远程控制双重能力，构成持久化攻击基础。

多维度数据窃取：克隆会话与接口令牌同步泄露

第二阶段载荷启动后，程序将深度扫描浏览器缓存、系统密钥链及本地存储设备中的所有加密钱包记录，并近乎不间断地监控剪贴板内容。更令人担忧的是，该恶意软件具备浏览器会话克隆功能，允许攻击者直接以合法身份登录已认证的加密钱包及相关服务平台。

同时，其还能窃取连接各类人工智能平台的应用程序接口（API）令牌，进一步扩大横向移动范围。被盗数据通过多重加密通道回传至攻击者控制的服务器，且该程序还支持执行系统命令、部署额外恶意模块及开启反向连接端口。

虚假代币空投陷阱：钓鱼网站诱导钱包授权

网络安全团队还发现，另一波基于“开源爪”热度发起的恶意活动正在代码托管平台蔓延。攻击者在项目讨论区创建虚假议题，宣称部分开发者有资格领取价值5000美元的特定代币。

诱导信息引导目标访问伪装成官方页面的钓鱼站点。专家警告，一旦用户在此类网站授权钱包连接，其数字资产可能在瞬间被清空。技术溯源显示，攻击路径采用多级跳转机制，最终指向恶意指令服务器，植入脚本会自动抓取钱包地址、交易历史并发送至攻击者终端。

研究人员已追踪到关联的钱包地址，该恶意代码还具备操作行为监控与本地数据清除功能，极大提升取证与分析难度。这两类攻击均依赖社会工程学策略，提醒用户切勿向非可信来源授权钱包访问，警惕社交平台上未经核实的“免费赠币”宣传。