卡巴斯基揭露OkoBot:模块化恶意软件框架盗取加密货币钱包助记词
卡巴斯基披露了OkoBot——一个由超过20种恶意载荷组成的模块化恶意软件框架,专门针对加密货币钱包,通过欺骗用户交出控制资产的助记词来实施盗窃。
卡巴斯基关于OkoBot的发现
卡巴斯基研究人员于2026年7月15日发布了OkoBot框架的技术分析报告,并警告称,截至撰写报告时,该威胁仍在活跃,且相关攻击活动已持续超过一年。该框架并非单一的病毒,而是一个包含20多种恶意载荷和植入工具的“工具箱”,旨在窃取数据并清空加密货币钱包。
OkoBot的20余种恶意载荷
卡巴斯基表示,该框架包含超过20种恶意载荷和植入工具。其中一个名为SeedHunter的模块会将自己注入Trezor Suite、Ledger Wallet和Ledger Live等合法钱包软件,随后显示伪造的种子恢复页面,专门诱捕硬件钱包用户提交恢复短语。卡巴斯基的Dmitry Galov直接描述了此次行动的规模:“OkoBot攻击活动已活跃超过一年,截至2026年7月仍在持续。”
为何20模块设计值得关注
模块化架构允许攻击者针对不同受害者灵活组合功能,仅部署所需的植入工具,并在防御者察觉后迅速更换组件。这种灵活性使得此类框架比单一目的的窃取软件更难检测和遏制。该框架中的另一个组件OkoSpyware会监控包括加密货币钱包和密码管理器在内的100种程序,利用FFmpeg录制视频,并捕获键盘输入。
攻击者通过ClickFix社会工程攻击和虚假的GitHub仓库(包括伪装成SQL Server Management Studio的恶意Audacity软件包)来传播该框架。卡巴斯基称,已在超过25个国家检测到数百名受害者。巴西、越南、加拿大、墨西哥和土耳其是受影响最严重的市场,表明该攻击活动并未局限于单一地区。根据未经证实的报告,地理封锁机制和俄语代码注释等技术线索指向了俄语操作者,但卡巴斯基表示无法以高置信度确认攻击归属。
OkoBot钱包威胁对加密货币用户意味着什么
核心风险在于助记词。由于SeedHunter能在合法钱包软件内部渲染钓鱼提示,用户通常收到的“检查浏览器地址栏”的建议几乎无效——在任何一个提示框(即使是可信应用程序内的提示框)中输入恢复短语,都可能让攻击者完全控制钱包。此次事件发生在市场情绪紧张之际。恐惧与贪婪指数读数为25(“极度恐惧”),比特币在日涨幅1.9%后交易于64,123美元附近。钱包制造商一直强调的自我托管指导原则是:恢复短语绝不应输入到在线表单或软件提示框中——Trezor在其安全警报中也重申了这一点。
这一威胁范围广泛,因为它针对的是不同资产的钱包用户,而非单一币种。这提醒我们,即便在机构兴趣持续增长的背景下(例如通过相关加密ETF和资产管理公司测试加密篮子的需求),操作安全依然至关重要。新资金进入该领域,也扩大了OkoBot这类攻击活动试图利用的持有者群体。

资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种