摘要:卡巴斯基与SlowMist联合披露新型威胁:名为OkoBot的恶意软件通过伪装GitHub应用和虚假招聘链接传播,专窃取钱包文件与账户凭证。攻击者利用SSH隧道远程传输数据,且正以开发者为目标实施精准渗透。

币圈界报道:
卡巴斯基曝光“OkoBot”恶意框架:专攻加密货币资产窃取
网络安全机构卡巴斯基在周三发布报告,揭示一种名为“OkoBot”的新型恶意软件架构,其核心目标为非法获取用户持有的加密货币资源。
攻击路径演进:从虚假工具到系统控制
该恶意程序采用社会工程诱导方式启动感染流程,典型手法包括部署名为“ClickFix”的欺骗性指令,诱使用户执行恶意操作。此外,它还伪装成合法GitHub应用的安装包进行投递,植入隐蔽后门以实现对设备的长期监控。
一旦成功部署,OkoBot具备提取本地加密钱包文件、读取浏览器存储信息及捕获登录凭据的能力。它还能注入恶意扩展模块,并实时截取钱包应用界面,使攻击者可远程操控交易过程,完成资产转移。
卡巴斯基指出,自2026年1月以来已识别多起关联事件。该框架被证实是2025年首次出现的“TookPS”攻击活动的升级形态,延续了通过伪造软件分发平台传播木马下载器的策略,进一步增强了隐蔽性和扩散效率。
OkoBot最具隐蔽性的特征在于其使用SSH隧道协调多达20个独立恶意组件。这一机制允许攻击者建立加密通道,将受控设备中的敏感数据直接外传至其远程服务器,极大提升了信息窃取的成功率和隐蔽性。
微型词典:SSH隧道——一种基于加密协议的通信通道,常被黑客用于在入侵主机与指挥中心之间构建安全的数据传输链路,逃避常规防火墙检测。
卡巴斯基强调,所有恶意载荷均通过该隧道传递,确保攻击全程不暴露于公开网络,从而实现对用户加密资产的无缝劫持。
假招聘陷阱蔓延:针对开发者的定向渗透
与此同时,区块链安全公司SlowMist警示,一种以虚假职位机会为诱饵的高级持续性威胁正在扩散。攻击者在LinkedIn平台冒充Web3领域招聘负责人,向区块链工程师发送工作邀请。
这些联系通常附带指向伪造GitHub仓库的链接,声称内含面试所需的最小可行产品代码。由于流程高度仿照真实项目协作场景,许多开发者在无防备状态下下载并运行了恶意脚本。
此类文件主要目的是部署远程访问木马,赋予攻击者对设备的完全控制权。后续可用来窃取私钥、云平台密钥以及钱包插件中的敏感配置信息。
SlowMist观察到,这类攻击正日益频繁,攻击者巧妙融合招聘、代码审查和项目协同等专业行为模式,诱导技术人员主动触发恶意内容,显著降低了防御门槛。
该公司特别指出,当前攻击趋势已从被动投放转向主动诱导,即“利用职业发展场景促使开发者自行激活恶意源码”,使得防护难度大幅上升。
就在报告发布前一日,SlowMist还通报了一起针对macOS用户的新型恶意活动,该程序旨在窃取账户凭证并劫持Telegram聊天会话。最终,受害者会被引导至仿冒网站,被迫输入钱包恢复短语,导致资金被盗。
微型词典:SlowMist——专注于区块链生态审计、漏洞挖掘与Web3安全态势监测的专业机构。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。
