币圈界报道:

卡巴斯基曝光“OkoBot”恶意框架:专攻加密货币资产窃取

网络安全机构卡巴斯基在周三发布报告,揭示一种名为“OkoBot”的新型恶意软件架构,其核心目标为非法获取用户持有的加密货币资源。

攻击路径演进:从虚假工具到系统控制

该恶意程序采用社会工程诱导方式启动感染流程,典型手法包括部署名为“ClickFix”的欺骗性指令,诱使用户执行恶意操作。此外,它还伪装成合法GitHub应用的安装包进行投递,植入隐蔽后门以实现对设备的长期监控。

一旦成功部署,OkoBot具备提取本地加密钱包文件、读取浏览器存储信息及捕获登录凭据的能力。它还能注入恶意扩展模块,并实时截取钱包应用界面,使攻击者可远程操控交易过程,完成资产转移。

卡巴斯基指出,自2026年1月以来已识别多起关联事件。该框架被证实是2025年首次出现的“TookPS”攻击活动的升级形态,延续了通过伪造软件分发平台传播木马下载器的策略,进一步增强了隐蔽性和扩散效率。

OkoBot最具隐蔽性的特征在于其使用SSH隧道协调多达20个独立恶意组件。这一机制允许攻击者建立加密通道,将受控设备中的敏感数据直接外传至其远程服务器,极大提升了信息窃取的成功率和隐蔽性。

微型词典:SSH隧道——一种基于加密协议的通信通道,常被黑客用于在入侵主机与指挥中心之间构建安全的数据传输链路,逃避常规防火墙检测。

卡巴斯基强调,所有恶意载荷均通过该隧道传递,确保攻击全程不暴露于公开网络,从而实现对用户加密资产的无缝劫持。

假招聘陷阱蔓延:针对开发者的定向渗透

与此同时,区块链安全公司SlowMist警示,一种以虚假职位机会为诱饵的高级持续性威胁正在扩散。攻击者在LinkedIn平台冒充Web3领域招聘负责人,向区块链工程师发送工作邀请。

这些联系通常附带指向伪造GitHub仓库的链接,声称内含面试所需的最小可行产品代码。由于流程高度仿照真实项目协作场景,许多开发者在无防备状态下下载并运行了恶意脚本。

此类文件主要目的是部署远程访问木马,赋予攻击者对设备的完全控制权。后续可用来窃取私钥、云平台密钥以及钱包插件中的敏感配置信息。

SlowMist观察到,这类攻击正日益频繁,攻击者巧妙融合招聘、代码审查和项目协同等专业行为模式,诱导技术人员主动触发恶意内容,显著降低了防御门槛。

该公司特别指出,当前攻击趋势已从被动投放转向主动诱导,即“利用职业发展场景促使开发者自行激活恶意源码”,使得防护难度大幅上升。

就在报告发布前一日,SlowMist还通报了一起针对macOS用户的新型恶意活动,该程序旨在窃取账户凭证并劫持Telegram聊天会话。最终,受害者会被引导至仿冒网站,被迫输入钱包恢复短语,导致资金被盗。

微型词典:SlowMist——专注于区块链生态审计、漏洞挖掘与Web3安全态势监测的专业机构。