恶意软件

ChainCatcher 消息，据区块链安全机构慢雾（SlowMist）监测，MistEye 收到来自社区的威胁情报，称一个名为“MacSync Stealer”（v1.1.2）的恶意软件正在活跃并具高度破坏性。该恶意软件针对 macOS 用户，窃取敏感数据，包括加密钱包、浏览器凭证、系统钥匙串以及基础设施密钥（SSH/AWS/K8s）。 该恶意软件利用伪造的 AppleScript 系统对话框进行钓鱼，并在数据泄露后显示“不支持”的假错误信息。其已即时将这一 IOC（指标）同步给客户。请勿执行未经验证的 macOS 脚本，并对意外的系统密码提示保持高度警惕。如怀疑遭受攻击，需立即进行补救：更改所有基础设施凭证（SSH/AWS/K8s）、使已暴露的钥匙串失效，并迅速将加密资产迁移至安全钱包。

ChainCatcher 消息，Bybit 安全运营中心发现一项针对搜索 AI 开发工具 Claude Code 的 macOS 用户的多阶段恶意软件攻击活动。攻击者通过搜索引擎优化投毒将恶意域名推至 Google 搜索结果前列，并诱导用户进入仿冒安装页面，进而窃取浏览器凭据、macOS 钥匙串、Telegram 会话、VPN 配置及加密钱包信息。Bybit 表示，该恶意软件还可通过后门程序建立持久化访问，并尝试针对超过 250 个浏览器钱包扩展及多个桌面钱包应用。此次恶意基础设施于 3 月 12 日被识别，相关分析、缓解和检测措施已于当日完成。.

ChainCatcher 消息，攻击者窃取了 JavaScript 最流行 HTTP 客户端库 Axios 首席维护者的 npm 访问令牌，并利用该令牌发布了两个包含跨平台远程访问木马（RAT）的恶意版本（axios@1.14.1 和 axios@0.3.4），目标覆盖 macOS、Windows 及 Linux 系统。恶意包在 npm 注册表上存活约 3 小时后被移除。据安全公司 Wiz 数据，Axios 每周下载量超 1 亿次，存在于约 80% 的云和代码环境中。安全公司 Huntress 在恶意包上线 89 秒后即检测到首批感染，并在暴露窗口期内确认至少 135 个系统遭到入侵。值得注意的是，Axios 项目此前已部署了 OIDC 可信发布机制和 SLSA 溯源证明等现代安全措施，但攻击者完全绕过了这些防线。调查发现，项目在配置 OIDC 的同时仍保留了传统长期有效的 NPM_TOKEN，而 npm 在两者共存时默认优先使用传统令牌，使得攻击者无需突破 OIDC 即可完成发布。

ChainCatcher 消息，据 GoPlus Security 披露，一款名为 Infiniti Stealer 的窃密恶意软件正通过 “ClickFix” 社会工程学攻击手法，针对 Mac 用户的加密钱包及敏感凭证实施窃取。 攻击者伪造高度仿真的 Cloudflare 验证码页面，诱导用户打开终端并手动粘贴执行恶意命令。命令执行后，脚本将移除 macOS 隔离属性，并将后续载荷写入 /tmp 目录静默运行。最终载荷为经 Nuitka 编译的原生 macOS 二进制文件，大幅提升了安全工具的检测难度。Infiniti Stealer 一旦部署，可窃取 Chromium / Firefox 浏览器凭证、macOS 钥匙串、加密钱包及开发者密钥文件（如 .env 文件），并具备沙箱检测与延迟执行能力以规避追踪。

ChainCatcher 消息，据 Cryptopolitan 报道，一款名为 GhostClaw 的新型恶意软件正在针对 macOS 设备上的加密钱包。 该恶意软件通过伪装成合法的 OpenClaw CLI 工具，在 npm 注册表中存在一周时间，感染了 178 名开发者后被移除。一旦开发者运行 “npm install” 命令，隐藏脚本会全局安装 GhostClaw 包，并通过混淆的设置文件逃避检测。GhostClaw 每三秒扫描一次剪贴板，捕获私钥、助记词、公钥等加密钱包和交易相关数据。 在第二阶段的载荷下载后，GhostLoader 会扫描 Chromium 浏览器、macOS 钥匙串和系统存储中的加密钱包数据，克隆浏览器会话以获取已登录钱包的访问权限，并窃取连接 AI 平台（如 OpenAI 和 Anthropic）的 API Token。窃取的数据通过 Telegram、GoFile 和命令服务器发送给攻击者。

ChainCatcher 消息，黑客通过仿冒 Google Play 商店的钓鱼页面，在巴西发起 Android 恶意软件攻击活动。目前所有已知受害者均位于巴西。攻击者搭建了与 Google Play 高度相似的钓鱼网站，诱导用户下载名为“INSS Reembolso”的伪造应用。该应用安装后，将分阶段释放隐藏恶意代码，并直接加载至内存运行，设备上不留可见文件，具有较强的隐蔽性。恶意软件的核心功能之一为加密货币挖矿，内置针对 ARM 设备编译的 XMRig 挖矿程序，可在后台静默连接攻击者控制的挖矿服务器。该程序会监控电池电量、温度及设备使用状态，动态调整挖矿行为以规避检测，并通过循环播放静音音频文件绕过 Android 系统的后台进程管理机制。部分变种还内置银行木马，可在 Binance 和 Trust Wallet 的 USDT 转账界面叠加伪造页面，静默替换收款地址。此外，恶意软件支持录音、截屏、键盘记录及远程锁机等多项远程控制指令。

ChainCatcher 消息，据慢雾科技首席信息安全官 23pds 披露，情报系统发现名为 “@openclaw-ai/openclawai” 的恶意 npm 包正在实施多层攻击。 该恶意包伪装成名为 OpenClaw Installer 的合法命令行工具，旨在窃取用户敏感信息，包括系统凭证、加密钱包私钥、浏览器数据、SSH 密钥以及 Apple Keychain 数据库等。

ChainCatcher 消息，GoPlus 中文社区在 X 平台发布预警称，朝鲜黑客向 npm 注册表发布了一组 26 个恶意软件包，这些恶意软件包都附带一个安装脚本 (“install.js”)，该脚本会在软件包安装过程中自动执行，进而运行位于 “vendor/scrypt-js/version.js” 中的恶意代码。 恶意代码会通过同一恶意 URL 下载并执行远程访问木马（RAT），实施键盘记录、剪贴板窃取、浏览器凭据收集、TruffleHog 秘密扫描 Git 仓库和 SSH 密钥窃取等恶意行为。此次事件与一个名为 “Famous Chollima” 的朝鲜黑客活动相关。

ChainCatcher 消息，据 Cointelegraph 报道，黑客正利用 “ClickFix” 攻击手法窃取加密货币，最新两起攻击涉及冒充风险投资公司和劫持浏览器扩展程序。网络安全公司 Moonlock Lab 报告称，诈骗者冒充 SolidBit、MegaBit 和 Lumax Capital 等虚假 VC，通过 LinkedIn 联系用户提供合作机会，然后引导其点击虚假的 Zoom 和 Google Meet 链接。点击链接后，用户会被引导至带有伪造 Cloudflare “我不是机器人”验证框的页面，点击该框会将恶意命令复制到剪贴板，并提示用户打开终端粘贴所谓的验证码，从而执行攻击。Moonlock Lab 指出，这种手法让受害者成为执行机制，绕过了安全行业的防御措施。与此同时，黑客还通过劫持 Chrome 扩展程序 QuickLens 传播恶意软件。该扩展允许用户在浏览器中直接运行 Google Lens 搜索，在被转让所有权后，新版本包含恶意脚本，可发起 ClickFix 攻击并窃取信息。该扩展约有 7000 名用户，被劫持后会搜索加密钱包数据和助记词以窃取资金，还会抓取 Gmail 收件箱内容、YouTube 频道数据以及输入网页表单的登录凭证或支付信息。该扩展已被从 Chrome 网上应用店移除。ClickFix 技术自去年在黑客中流行，迫使受害者手动执行恶意负载，已影响全球数千企业及多个行业。

ChainCatcher 消息，GoPlus Security 警告用户提防一种名为 PromptSpy 的新型 Android 恶意软件。该恶意软件通过钓鱼网站（如伪装成银行网站）诱导用户下载 APK 文件，获取辅助功能权限后能远程控制设备。 PromptSpy 的特殊之处在于利用 Google Gemini API 分析设备界面并制定攻击策略，使其能更好地适应不同手机品牌和系统版本，提高攻击隐蔽性和成功率。

ChainCatcher 消息，黑客正通过在 Facebook 上投放假冒的 Windows 11 更新广告来窃取加密货币用户的资产。这些广告使用专业的 Microsoft 品牌标识，引导用户点击后会进入克隆的 Microsoft 网站，随后下载恶意软件。 该恶意软件会在受害者电脑上安装名为“LunarApplication”的框架，专门窃取加密货币钱包种子短语、登录凭证和其他敏感信息。黑客利用地理围栏技术避开数据中心 IP 地址，防止自动扫描器检测攻击。

ChainCatcher 消息，据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。 该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。 自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的“故障排除”指令。

ChainCatcher 消息，据 Cointelegraph 报道，网络安全研究员 Jeremiah Fowler 发现了一个包含约 1.49 亿用户名和密码的公开数据库，这些数据通过信息窃取恶意软件从被感染的个人设备中收集。该数据库包含与多个主要平台相关的账户信息，其中至少有 42 万条与币安用户相关的登录凭证。 专家强调，这并非币安系统遭到入侵，而是通过"信息窃取"恶意软件从受感染设备中提取保存的登录信息。该恶意软件伪装成游戏作弊工具或修改器，特别针对加密货币钱包和浏览器扩展，影响超过 100 种浏览器和至少 80 家加密货币交易所，包括币安、Coinbase、Crypto.com 和 MetaMask 等。

ChainCatcher 消息，据市场消息，一场针对 Cardano 用户的高级钓鱼攻击正在通过伪装 “Eternl Desktop” 钱包发布公告传播，诱导用户下载安装包含远程控制工具的恶意 MSI 文件。 攻击者伪造官方语气并引用 NIGHT 与 ATMA 代币激励，利用域名 download.eternldesktop.network 传播无签名安装包。安全研究员揭示该文件内含 LogMeIn Resolve 组件，可实现远程命令执行与系统持久控制。建议用户仅通过官方渠道获取钱包软件。

ChainCatcher 消息，据 financefeeds 报道，全球网络安全公司卡巴斯基发布紧急警报，关注一种名为 “Stealka” 的新型复杂信息窃取工具，该软件已开始对 Windows 用户发起大规模攻击。 该恶意软件于 2025 年底被发现，专门设计用来收集敏感的金融数据、浏览器凭证和加密货币钱包信息。Stealka 主要通过像 GitHub 和 SourceForge 这样的欺骗性平台分发，伪装成盗版软件或高需求应用的 “破解”。 该恶意软件尤其危险，因为它利用先进的混淆技术绕过传统的基于签名的安全解决方案，通常在对受害者设备进行全面扫描时保持不被发现。这一威胁出现在全年密码窃取侦测激增近 60% 之际，标志着数字金融犯罪演变中更为激进的阶段。

ChainCatcher 消息，慢雾首席信息安全官 23pds 发文分享称，活跃于 macOS 平台的 MacSync Stealer 恶意软件已出现明显演进，已有用户资产被盗。 其转发的文章提到，从早期依赖 “拖拽到终端”、“ClickFix”等低门槛诱导手法，升级为代码签名并通过苹果公证（notarized）的 Swift 应用程序，显著提升隐蔽性。研究人员发现，该样本以名为 zk-call-messenger-installer-3.9.2-lts.dmg 的磁盘镜像形式传播，通过伪装成即时通讯或工具类应用诱导用户下载。与以往不同，新版本无需用户进行任何终端操作，而是由内置的 Swift 辅助程序从远程服务器拉取并执行编码脚本，完成信息窃取流程。 该恶意程序已完成代码签名并通过苹果公证，开发者团队 ID 为 GNJLS3UYZ4，相关哈希在分析时尚未被苹果吊销。这意味着其在默认 macOS 安全机制下具有更高的 “可信度”，更容易绕过用户警惕。研究还发现，该 DMG 体积异常偏大，内含 LibreOffice 相关 PDF 等诱饵文件，用于进一步降低怀疑。 安全研究人员指出，此类信息窃取木马常以浏览器数据、账户凭据、加密钱包信息为主要目标。随着恶意软件开始系统性滥用苹果签名与公证机制，加密资产用户在 macOS 环境下面临的钓鱼与私钥泄露风险正在上升。

ChainCatcher 消息，据慢雾科技首席信息安全官 23pds 披露，信息窃取恶意软件 MacSync 出现新变种，可成功绕过 macOS Gatekeeper 安全机制，已有用户资产被盗。该恶意软件采用多种技术逃避检测，包括文件膨胀、网络连接验证及执行后自毁脚本等。攻击者可通过此软件窃取受害者的 iCloud 钥匙串、浏览器密码以及加密货币钱包等敏感数据。用户应提高警惕，避免从不明来源下载软件，及时更新操作系统安全补丁，并采取额外措施保护加密资产安全。

ChainCatcher 消息，网络安全非营利组织 Security Alliance 警告称，他们目前每天都会发现多起由朝鲜黑客发起的诈骗企图，这些攻击通过伪造的 Zoom 会议诱骗受害者上钩。 该诈骗手法是在一场“假 Zoom 通话”中诱导受害者下载恶意软件，从而窃取包括密码和私钥在内的敏感信息。安全研究员 Taylor Monahan 警告称，这一战术已从用户手中掠走超过 3 亿美元的资产。 诈骗通常始于一个 Telegram 账号发来的消息，而该账号往往属于受害者“认识的人”。由于熟人身份，受害者会放松警惕。随后，对话会自然过渡到“通过 Zoom 叙叙旧”的邀请。一旦通话开始，黑客就会假装遇到音频问题，并发送一个所谓的“补丁文件”。当受害者打开该文件时，设备即被植入恶意软件。随后，黑客会以“改天再约”为由结束这场假通话。

ChainCatcher 消息，据 Hackread.com 报道，网络安全公司 Hudson Rock 在分析一份 LummaC2 信息窃取恶意软件日志时，发现了一台被感染的设备，其操作者疑似为朝鲜国家支持的黑客组织中的恶意软件开发者。该设备曾被用于搭建支持 2025 年 2 月加密货币交易所 Bybit 价值 14 亿美元盗窃案的基础设施。分析表明，该设备上发现的凭据与攻击前注册的、用于仿冒 Bybit 的域名存在关联。设备本身配置高端，安装了 Visual Studio、Enigma Protector 等开发工具，以及 Astrill VPN、Slack、Telegram 等通信和数据存储类应用。其活动痕迹还显示，攻击者为实施钓鱼攻击，购买了相关域名并准备了虚假 Zoom 安装程序。这一发现罕见地揭示了朝鲜支持的黑客行动中资产共享的内部运作细节。

ChainCatcher 消息，据 Cointelegraph 报道，Trustwave 的网络安全研究团队 SpiderLabs 最新报告，一种名为 “Eternidade Stealer” 的银行木马正通过 WhatsApp 在巴西大规模传播。攻击者利用虚假政府计划通知、快递信息和投资群组等社交工程手段诱骗用户点击恶意链接。一旦点击，恶意软件会同时感染设备并劫持 WhatsApp 账户，自动向受害者的联系人列表传播。该木马能够扫描并窃取多家巴西银行、金融科技公司和加密货币交易所的登录凭证。为避免被检测，该恶意软件采用预设 Gmail 账户接收指令，而非固定服务器地址。安全专家建议用户对任何链接保持警惕，即使来自可信联系人，并保持软件更新以防范此类攻击。.