原文来源:bybit
据 Bybit 官方披露,其安全运营中心(SOC)发现一起针对 macOS 用户的复杂恶意软件攻击活动。攻击者通过 SEO 投毒手段,将恶意网站推至 Google 搜索结果前列,当用户搜索 AI 开发工具「Claude Code」时,被引导至伪造安装页面,触发多阶段攻击链,目标包括窃取凭证、加密资产及获取设备长期控制权。
该攻击最早于 2026 年 3 月被发现。首阶段通过 Mach-O 投递器释放基于 osascript 的信息窃取程序,具备 AMOS、Banshee 等家族特征,可窃取浏览器凭证、macOS 钥匙串、Telegram 会话、VPN 配置及加密钱包数据,并针对 250+ 浏览器钱包插件及多款桌面钱包发起访问尝试。
第二阶段为 C++ 后门程序,具备沙箱检测与加密配置能力,通过系统级代理实现持久化,并通过 HTTP 轮询方式接收指令,实现远程控制。
Bybit 表示,其 SOC 在本次事件中引入 AI 辅助分析,覆盖从样本分类、逆向工程到 IOC 提取与检测规则生成的完整流程,将分析时间从数小时缩短至约 40 分钟,并实现当日完成检测与缓解措施部署,整体效率提升约 70%。
Bybit 集团风控与安全负责人 David Zong 表示:「作为较早公开此类攻击活动的交易所之一,我们认为披露相关发现有助于提升行业整体防御能力。借助 AI 辅助的 SOC,我们已实现从威胁检测到完整攻击链可视化在单一周期内完成。过去需要多名分析师跨班次完成的逆向、IOC 提取、报告撰写与规则生成,如今可在一次会话中完成——AI 负责处理大量分析工作,分析师进行判断与校验。未来安全将进入『AI 对抗 AI』阶段,利用 AI 防御 AI 将成为趋势。Bybit 将持续加大在安全 AI 领域的投入,推动威胁检测向分钟级响应及自动化智能处置演进。」
调查还发现,攻击者使用伪造的 macOS 密码弹窗进行社工攻击,缓存用户凭证;部分情况下还尝试将 Ledger Live、Trezor Suite 等官方钱包替换为木马版本。
本次攻击覆盖 Chromium 系浏览器、Firefox、Safari、Apple Notes 及本地敏感目录。相关恶意域名与 C2 基础设施已被处理并公开披露。攻击采用间歇性 HTTP 轮询通信,增加检测难度。
Bybit 指出,随着 AI 工具普及,攻击者正通过搜索结果操纵 targeting 开发者群体。由于开发者掌握代码、基础设施及资金权限,已成为高价值攻击目标。Bybit 于 3 月 12 日确认恶意基础设施,并在同日完成分析、检测与缓解措施,3 月 20 日对外披露并发布详细防护指引。
本文来自投稿,不代表 BlockBeats 观点