网络安全研究人员警告:新型恶意软件针对加密货币持有者与开发者
网络安全研究人员近期发现一波针对加密货币相关软件持有者、开发及顾问人员的恶意软件攻击新手段。卡巴斯基指出,其发现了一种名为OkoBot的新型恶意软件框架,该框架结合社会工程学与数据窃取能力,专门针对加密货币投资者。与此同时,慢雾科技(SlowMist)也发出警告,称存在另一场独立的入侵活动——攻击者通过领英(LinkedIn)上看似正规的招聘信息,诱导Web3开发者运行托管在GitHub上的恶意代码。这两起事件共同表明,攻击者正愈发频繁地利用日常办公流程(如面试、代码测试、应用安装)作为恶意软件的传播载体。
核心要点
OkoBot旨在通过窃取钱包文件、浏览器信息、登录凭证以及注入的浏览器或扩展活动数据,来盗取与加密货币相关的信息。卡巴斯基表示,自2026年1月以来已观察到多起与OkoBot相关的攻击,且该框架由此前名为TookPS的攻击活动演变而来。据报道,OkoBot的基础设施通过SSH隧道路由所有有效载荷,实现远程数据传输至攻击者控制的系统。慢雾科技则报告了基于领英的“招聘者”诈骗——攻击者将伪装成技术面试任务的恶意GitHub仓库发送给Web3开发者。这种招聘流程与真实开发者面试高度相似,降低了受害者的警惕性,增加了他们运行恶意代码的概率。
OkoBot通过钱包和浏览器窃取针对加密货币持有者
在本周发布的一份报告中,卡巴斯基将OkoBot描述为一个恶意软件框架,它利用社会工程学和“恶意应用”传播策略启动感染链。据卡巴斯基称,初始入侵手段包括ClickFix等技巧——旨在诱骗用户执行有害命令,以及特洛伊化(trojanized)的GitHub应用——可在受感染设备上植入后门。一旦系统被攻击者控制,卡巴斯基表示OkoBot能够收集与加密货币持有直接相关的敏感信息。该公司报告称,该恶意软件可以:窃取加密货币钱包文件;提取浏览器数据和用户凭证;注入恶意扩展;捕获钱包应用窗口,可能通过屏幕或会话相关数据实施盗窃。卡巴斯基还指出,自2026年1月以来,已识别出多起使用该恶意软件家族的攻击。对于投资者而言,实际风险不仅在于钱包可能被访问,还在于浏览器活动和存储的认证数据可能被用来加速账户接管或转账操作。
基础设施运行方式:通过SSH进行有效载荷编排
卡巴斯基分析中的一个显著细节是,OkoBot在管理恶意有效载荷方面与以往的攻击活动有所不同。卡巴斯基称,该框架通过SSH隧道协调全部20个恶意有效载荷,从而支持从受感染计算机远程传输数据至攻击者控制的系统。这一点至关重要,因为它指向了一种操作模式:攻击者在初始入侵后,对后续阶段保持强大控制力。与仅依赖静态行为不同,隧道式架构可帮助攻击者根据受害者情况调整策略,并更可靠地收集信息——取决于恶意软件在每个主机上发现的内容。卡巴斯基还将OkoBot描述为TookPS的演变版本。TookPS是2025年首次发现的一个恶意软件活动,通过虚假软件网站分发特洛伊木马下载器。通过从早期的传播方式进化,并增加更协调的有效载荷处理,OkoBot框架似乎旨在提高感染成功率以及入侵后的有效性。
领英招聘诈骗诱导Web3开发者运行恶意代码仓库
慢雾科技的独立研究则聚焦于另一类目标:Web3开发者。在该公司上周六发布的一份报告中,指出攻击者通过领英消息冒充Web3招聘人员来接触开发者。慢雾科技对攻击流程的描述表明,攻击者故意选择了一个高信任度、熟悉的切入点。初次接触后,受害者会收到看似虚假的GitHub仓库,被包装成“最小可行产品”,要求开发者面试前安装并试用。慢雾科技认为,这种手法之所以有效,是因为它模仿了真实的技术面试流程。报告指出,合法的开发者工作流程通常包括拉取代码、安装依赖项以及启动项目——而受害者在准备面试时自然会执行这些步骤。在这种环境下,恶意代码不易被察觉,尤其是当受害者不认为一个与招聘对话“关联”的仓库会存在安全风险时。
攻击者旨在从开发者系统窃取什么
慢雾科技表示,最终目标是向受害者设备植入完整的远程访问木马。一旦木马建立,攻击者便可窃取与开发和运营相关的敏感材料,包括项目密钥、云凭证或与钱包扩展相关的数据。慢雾科技还强调,这种招聘手段是更大趋势的一部分:攻击者正越来越多地利用招聘、代码审查和项目协作等场景,诱骗开发者运行恶意仓库。换言之,这不仅是欺骗,还涉及时机——等待开发者最有可能在正常工作中执行代码的瞬间。值得注意的是,在发出领英相关警告之前,慢雾科技还报告了另一起针对macOS用户的攻击活动。该早期活动旨在窃取凭证并劫持Telegram会话,以胁迫受害者通过虚假网站提交钱包恢复短语。尽管不同攻击活动的战术、技术和程序(TTP)有所差异,但都指向同一根本威胁:攻击者正在系统性地将社会工程学与凭证窃取相结合,最终破坏加密货币的访问权限。
未来展望
展望未来,这两份报告均提示读者应警惕更多“看似合法”的入侵路径——尤其是那些通过招聘人员、面试流程或第三方仓库要求执行代码的情况。对于投资者和开发者而言,当下迫切的问题不仅在于恶意软件是否存在,更在于攻击者能否利用日常信任和已认证的会话,快速触及与钱包相关的秘密信息。

资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种