Bybit安全团队借助AI技术揭露针对macOS用户的恶意软件活动
2026年4月21日,全球交易量第二大的加密货币交易所Bybit报告称,其安全运营中心披露了一项针对macOS用户的高度复杂、多阶段恶意软件活动。该活动瞄准那些搜索Anthropic公司开发的AI编程工具"Claude Code"的用户。
这是中心化加密货币交易所首次公开披露通过AI工具发现渠道针对开发者的活跃威胁活动,凸显了该行业在前线网络安全情报领域日益重要的角色。
该活动最早于2026年3月被发现,攻击者利用搜索引擎优化投毒技术,将一个恶意域名推至谷歌搜索结果顶部。用户会被重定向至一个仿冒的安装页面,其设计高度模仿官方文档,进而触发一个两阶段的攻击链,重点窃取用户凭证、加密资产并获取持久系统访问权限。
初始载荷通过Mach-O释放器传递,部署了一个基于osascript的信息窃取程序,其特征与已知的AMOS和Banshee变种相似。它执行多阶段混淆流程以提取敏感数据,包括浏览器凭据、macOS钥匙串条目、Telegram会话、VPN配置文件以及加密货币钱包信息。研究人员发现,攻击者尝试访问超过250个浏览器钱包扩展插件及多个桌面钱包应用。
第二阶段载荷引入了基于C++的后门程序,具备高级规避能力,包括沙箱检测和加密运行时配置。该恶意软件通过系统级代理建立持久化机制,并支持基于HTTP轮询的远程命令执行,使攻击者能够持续控制受感染设备。
在本次分析中,安全运营中心在整个恶意软件分析生命周期中运用了AI辅助工作流,在保持分析深度的同时显著加快了响应速度。对Mach-O样本的初步分类在数分钟内完成,AI模型标记出其与已知恶意软件家族的行为相似性。
AI辅助的逆向工程与控制流分析将第二阶段后门的深度检测时间从预估的6至8小时缩短至40分钟以内。同时,自动化提取管道识别出包括指挥控制基础设施、文件签名和行为模式在内的入侵指标,并将其映射到现有威胁框架中。
这些能力使得检测措施得以在当天部署。AI辅助的规则生成支持创建威胁签名和端点检测规则,分析师在将其投入生产环境前进行了验证。AI生成的报告草案进一步缩短了周转时间,使威胁情报产出速度较传统工作流提升约70%。
集团风险控制与安全负责人表示:"作为首批公开披露此类恶意软件活动的加密货币交易所之一,我们认为分享这些发现对于加强行业整体防御至关重要。我们的AI辅助安全运营中心使我们能够在单一操作窗口内实现从检测到完整攻击链可视化的闭环。过去需要分析团队跨多个班次完成的工作——反编译、入侵指标提取、报告起草、规则编写——如今在AI承担繁重任务、分析师提供判断与验证的单次会话中即可完成。展望未来,我们将面临一场AI战争。利用AI防御AI是必然趋势。我们将进一步增加在安全领域对AI的投入,实现分钟级威胁检测与自动化、智能化的应急响应。"
调查还揭示了攻击者使用的社会工程手段,包括用于验证和缓存用户凭证的虚假macOS密码提示。在某些案例中,攻击者试图用托管在恶意基础设施上的木马化版本替换合法的加密货币钱包应用程序。
该恶意软件的攻击范围广泛,涵盖基于Chromium的浏览器、Firefox变种、Safari数据、Apple Notes以及通常用于存储敏感财务或身份验证数据的本地文件目录。
研究人员确认了与该活动相关的多个域名和指挥控制端点,所有均已进行无害化处理以供公开披露。分析表明,攻击者依赖间歇性HTTP轮询而非持久连接,这使得检测更具挑战性。
此事件反映出攻击者通过操纵搜索结果针对开发者的趋势日益增长,尤其是在AI工具逐渐成为主流应用的背景下。由于开发者能够访问代码库、基础设施和金融系统,他们仍然是高价值目标。
安全团队于3月12日识别出恶意基础设施,并在当日完成了全面分析、缓解和检测措施的部署。详细检测指南已于3月20日随事件报告一同发布。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注