據 Bybit 安全運營中心 (SOC) 於 4 月 21 日發佈並與 Finbold 分享的調查結果顯示, Bybit披露了針對搜索“Claude Code”(Anthropic 公司的一款人工智能驅動的開發工具)用戶的 macOS 多階段惡意軟件活動的詳細信息。
該公司表示,此次行動是首批公開記錄的案例之一,其中一家中心化加密貨幣交易所 (CEX) 識別並分析了利用人工智能工具發現渠道攻擊開發者的活躍威脅。
據Bybit報道,該攻擊活動最早於 2026 年 3 月被發現,攻擊者利用搜索引擎優化 (SEO) 投毒技術,將惡意域名提升至谷歌搜索結果的頂部。搜索“Claude Code”的用戶會被重定向到一個偽造的安裝頁面,該頁面與合法文檔極其相似。
多階段惡意軟件鏈攻擊憑證和加密錢包
Bybit 的分析發現,此次攻擊部署了一條兩階段的惡意軟件鏈。初始載荷通過 Mach-O 投放器投放,安裝了一個基於 osascript 的信息竊取程序,其特徵與已知的 AMOS 和 Banshee 變種類似。
信息竊取者執行了多階段混淆處理流程,以提取敏感數據,包括瀏覽器憑證、macOS 鑰匙串條目、Telegram 會話、VPN 配置和加密貨幣錢包信息。BybitBybit人員發現,超過 250 個基於瀏覽器的錢包擴展程序以及多個桌面錢包應用程序都遭受了有針對性的訪問嘗試。
第二階段有效載荷引入了一個基於 C++ 的後門,該後門採用了沙箱檢測和加密運行時配置等高級規避技術。該惡意軟件通過系統級代理建立Persistence,並通過基於 HTTP 的輪詢實現遠程命令執行,從而使攻擊者能夠持續控制受感染的設備。
調查還揭露了多種社會工程攻擊手段,包括使用偽造的 macOS 密碼提示來驗證和緩存用戶憑據。在某些情況下,攻擊者試圖用託管在惡意基礎設施上的木馬版本替換 Ledger Live 和 Trezor Suite 等合法錢包應用程序。
人工智能輔助分析可加快檢測和響應速度
Bybit表示,其安全運營中心(SOC)在整個惡意軟件分析生命週期中利用了人工智能輔助工作流程,在顯著縮短響應時間的同時,保持了分析深度。對Mach-O樣本的初步分類和鑑定在幾分鐘內完成,人工智能模型標記出了其與已知惡意軟件家族的行為相似性。
據該公司稱,人工智能輔助的逆向工程和控制流分析將對第二階段後門的深度檢查時間從預計的六到八小時縮短到不到40分鐘。自動化提取流程識別出了入侵指標,包括命令與控制基礎設施、文件簽名和行為模式,並將這些指標映射到已建立的威脅框架中。
這些功能實現了當日部署檢測措施。人工智能輔助的規則生成功能支持創建威脅特徵碼和端點檢測規則,這些規則在部署到生產環境之前會經過分析師的驗證。BybitBybit,人工智能生成的報告草稿縮短了週轉時間,使威脅情報輸出的最終速度比傳統工作流程快約 70%。
“作為首批公開記錄此類惡意軟件攻擊的加密貨幣交易所之一,我們認為分享這些發現對於加強整個行業的集體防禦至關重要,” Bybit集團風險控制與安全主管David Zong表示。 “我們藉助人工智能輔助的安全運營中心(SOC)能夠在一次操作窗口內完成從檢測到完整攻擊鏈可視性的整個流程。過去需要分析師團隊輪班工作才能完成的工作——反編譯、IOC提取、報告撰寫、規則編寫——現在只需一次會話即可完成,人工智能負責繁重的工作,而我們的分析師則負責提供判斷和驗證。展望未來,我們將面臨一場人工智能之戰。利用人工智能防禦人工智能是不可避免的趨勢。Bybit將進一步加大對人工智能安全領域的投入,實現分鐘級威脅檢測和自動化智能應急響應。”
該惡意軟件針對多種環境,包括基於 Chromium 的瀏覽器、Firefox 變體、Safari 數據、Apple Notes 以及通常用於存儲敏感財務或身份驗證信息的本地文件目錄。
Bybit表示,他們已識別出與此次攻擊活動相關的多個域名和命令與控制端點,但所有這些端點都已解除加密,以便公開披露。分析表明,攻擊者依賴的是間歇性的HTTP輪詢,而非持續連接,這使得檢測更具挑戰性。
據Bybit稱,與此次攻擊活動相關的惡意基礎設施於 3 月 12 日被發現。當天即完成了全面的分析、緩解和內部檢測措施。3 月 20 日,Bybit 向公眾披露了相關信息,併發布了詳細的檢測和修復指南,以幫助用戶識別和緩解類似威脅。
題圖來自 Shutterstock。
