惡意軟體

ChainCatcher 消息，攻擊者竊取了 JavaScript 最流行 HTTP 客戶端庫 Axios 首席維護者的 npm 存取令牌，並利用該令牌發布了兩個包含跨平台遠端存取木馬（RAT）的惡意版本（[email protected] 和 [email protected]），目標覆蓋 macOS、Windows 及 Linux 系統。惡意包在 npm 註冊表上存活約 3 小時後被移除。據安全公司 Wiz 數據，Axios 每週下載量超 1 億次，存在於約 80% 的雲和程式碼環境中。安全公司 Huntress 在惡意包上線 89 秒後即檢測到首批感染，並在暴露窗口期內確認至少 135 個系統遭到入侵。值得注意的是，Axios 專案此前已部署了 OIDC 可信發布機制和 SLSA 溯源證明等現代安全措施，但攻擊者完全繞過了這些防線。調查發現，專案在配置 OIDC 的同時仍保留了傳統長期有效的 NPM_TOKEN，而 npm 在兩者共存時預設優先使用傳統令牌，使得攻擊者無需突破 OIDC 即可完成發布。

ChainCatcher 消息，据 GoPlus Security 披露，一款名為 Infiniti Stealer 的竊密惡意軟體正透過 "ClickFix" 社會工程學攻擊手法，針對 Mac 使用者的加密錢包及敏感憑證實施竊取。攻擊者偽造高度仿真的 Cloudflare 驗證碼頁面，誘導使用者打開終端並手動粘貼執行惡意命令。命令執行後，腳本將移除 macOS 隔離屬性，並將後續載荷寫入 /tmp 目錄靜默運行。最終載荷為經 Nuitka 編譯的原生 macOS 二進制檔案，大幅提升了安全工具的檢測難度。Infiniti Stealer 一旦部署，可竊取 Chromium / Firefox 瀏覽器憑證、macOS 鑰匙串、加密錢包及開發者密鑰檔案（如 .env 檔案），並具備沙箱檢測與延遲執行能力以規避追蹤。

ChainCatcher 消息，据 Cryptopolitan 報導，一款名為 GhostClaw 的新型惡意軟體正在針對 macOS 設備上的加密錢包。該惡意軟體通過偽裝成合法的 OpenClaw CLI 工具，在 npm 註冊表中存在了一週時間，感染了 178 名開發者後被移除。一旦開發者運行 "npm install" 命令，隱藏腳本會全局安裝 GhostClaw 包，並通過混淆的設置文件逃避檢測。GhostClaw 每三秒掃描一次剪貼板，捕獲私鑰、助記詞、公鑰等加密錢包和交易相關數據。在第二階段的載荷下載後，GhostLoader 會掃描 Chromium 瀏覽器、macOS 鑰匙串和系統存儲中的加密錢包數據，克隆瀏覽器會話以獲取已登錄錢包的訪問權限，並竊取連接 AI 平台（如 OpenAI 和 Anthropic）的 API Token。竊取的數據通過 Telegram、GoFile 和命令伺服器發送給攻擊者。

ChainCatcher 消息，黑客透過仿冒 Google Play 商店的釣魚頁面，在巴西發起 Android 惡意軟體攻擊活動。目前所有已知受害者均位於巴西。攻擊者搭建了與 Google Play 高度相似的釣魚網站，誘導用戶下載名為"INSS Reembolso"的偽造應用。該應用安裝後，將分階段釋放隱藏惡意代碼，並直接加載至內存運行，設備上不留可見文件，具有較強的隱蔽性。惡意軟體的核心功能之一為加密貨幣挖礦，內置針對 ARM 設備編譯的 XMRig 挖礦程序，可在背景靜默連接攻擊者控制的挖礦伺服器。該程序會監控電池電量、溫度及設備使用狀態，動態調整挖礦行為以規避檢測，並透過循環播放靜音音頻文件繞過 Android 系統的背景進程管理機制。部分變種還內置銀行木馬，可在 Binance 和 Trust Wallet 的 USDT 轉帳介面疊加偽造頁面，靜默替換收款地址。此外，惡意軟體支持錄音、截屏、鍵盤記錄及遠程鎖機等多項遠程控制指令。

ChainCatcher 消息，据慢霧科技首席信息安全官 23pds 披露，情報系統發現名為 "@openclaw-ai/openclawai" 的惡意 npm 包正在實施多層攻擊。該惡意包偽裝成名為 OpenClaw Installer 的合法命令行工具，旨在竊取用戶敏感信息，包括系統憑證、加密錢包私鑰、瀏覽器數據、SSH 密鑰以及 Apple Keychain 數據庫等。

ChainCatcher 消息，GoPlus 中文社區在 X 平台發布預警稱，朝鮮黑客向 npm 註冊表發布了一組 26 個惡意軟體包，這些惡意軟體包都附帶一個安裝腳本 ("install.js")，該腳本會在軟體包安裝過程中自動執行，進而運行位於 "vendor/scrypt-js/version.js" 中的惡意代碼。惡意代碼會透過同一惡意 URL 下載並執行遠程訪問木馬（RAT），實施鍵盤記錄、剪貼板竊取、瀏覽器憑據收集、TruffleHog 秘密掃描 Git 倉庫和 SSH 金鑰竊取等惡意行為。此次事件與一個名為 "Famous Chollima" 的朝鮮黑客活動相關。

ChainCatcher 消息，GoPlus Security 警告用戶提防一種名為 PromptSpy 的新型 Android 惡意軟體。該惡意軟體透過釣魚網站（如偽裝成銀行網站）誘導用戶下載 APK 檔案，獲取輔助功能權限後能遠程控制設備。PromptSpy 的特殊之處在於利用 Google Gemini API 分析設備介面並制定攻擊策略，使其能更好地適應不同手機品牌和系統版本，提高攻擊隱蔽性和成功率。

ChainCatcher 消息，黑客正透過在 Facebook 上投放假冒的 Windows 11 更新廣告來竊取加密貨幣用戶的資產。這些廣告使用專業的 Microsoft 品牌標識，引導用戶點擊後會進入克隆的 Microsoft 網站，隨後下載惡意軟體。該惡意軟體會在受害者電腦上安裝名為"LunarApplication"的框架，專門竊取加密貨幣錢包種子短語、登錄憑證和其他敏感信息。黑客利用地理圍欄技術避開數據中心 IP 地址，防止自動掃描器檢測攻擊。

ChainCatcher 消息，据 Cointelegraph 報導，網絡安全研究員 Jeremiah Fowler 發現了一個包含約 1.49 億用戶名和密碼的公開數據庫，這些數據通過信息竊取惡意軟件從被感染的個人設備中收集。該數據庫包含與多個主要平台相關的賬戶信息，其中至少有 42 萬條與幣安用戶相關的登錄憑證。專家強調，這並非幣安系統遭到入侵，而是通過"信息竊取"惡意軟件從受感染設備中提取保存的登錄信息。該惡意軟件偽裝成遊戲作弊工具或修改器，特別針對加密貨幣錢包和瀏覽器擴展，影響超過 100 種瀏覽器和至少 80 家加密貨幣交易所，包括幣安、Coinbase、Crypto.com 和 MetaMask 等。

ChainCatcher 消息，据市場消息，一場針對 Cardano 用戶的高級釣魚攻擊正在通過偽裝 "Eternl Desktop" 錢包發布公告傳播，誘導用戶下載安裝包含遠程控制工具的惡意 MSI 文件。攻擊者偽造官方語氣並引用 NIGHT 與 ATMA 代幣激勵，利用域名 download.eternldesktop.network 傳播無簽名安裝包。安全研究員揭示該文件內含 LogMeIn Resolve 組件，可實現遠程命令執行與系統持久控制。建議用戶僅通過官方渠道獲取錢包軟件。

ChainCatcher 消息，据 financefeeds 報導，全球網絡安全公司卡巴斯基發布緊急警報，關注一種名為 "Stealka" 的新型複雜信息竊取工具，該軟件已開始對 Windows 用戶發起大規模攻擊。該惡意軟件於 2025 年底被發現，專門設計用來收集敏感的金融數據、瀏覽器憑證和加密貨幣錢包信息。Stealka 主要通過像 GitHub 和 SourceForge 這樣的欺騙性平台分發，偽裝成盜版軟件或高需求應用的 "破解"。該惡意軟件尤其危險，因為它利用先進的混淆技術繞過傳統的基於簽名的安全解決方案，通常在對受害者設備進行全面掃描時保持不被發現。這一威脅出現在全年密碼竊取偵測激增近 60% 之際，標誌著數字金融犯罪演變中更為激進的階段。

ChainCatcher 消息，慢霧首席信息安全官 23pds 發文分享稱，活躍於 macOS 平台的 MacSync Stealer 惡意軟體已出現明顯演進，已有用戶資產被盜。其轉發的文章提到，從早期依賴 "拖拽到終端"、"ClickFix"等低門檻誘導手法，升級為代碼簽名並通過蘋果公證（notarized）的 Swift 應用程序，顯著提升隱蔽性。研究人員發現，該樣本以名為 zk-call-messenger-installer-3.9.2-lts.dmg 的磁碟映像形式傳播，通過偽裝成即時通訊或工具類應用誘導用戶下載。與以往不同，新版本無需用戶進行任何終端操作，而是由內置的 Swift 輔助程序從遠程伺服器拉取並執行編碼腳本，完成信息竊取流程。該惡意程序已完成代碼簽名並通過蘋果公證，開發者團隊 ID 為 GNJLS3UYZ4，相關哈希在分析時尚未被蘋果吊銷。這意味著其在默認 macOS 安全機制下具有更高的 "可信度"，更容易繞過用戶警惕。研究還發現，該 DMG 體積異常偏大，內含 LibreOffice 相關 PDF 等誘餌文件，用於進一步降低懷疑。安全研究人員指出，此類信息竊取木馬常以瀏覽器數據、賬戶憑據、加密錢包信息為主要目標。隨著惡意軟體開始系統性濫用蘋果簽名與公證機制，加密資產用戶在 macOS 環境下面臨的釣魚與私鑰洩露風險正在上升。

ChainCatcher 消息，据慢霧科技首席資訊安全官 23pds 披露，資訊竊取惡意軟體 MacSync 出現新變種，可成功繞過 macOS Gatekeeper 安全機制，已有用戶資產被盜。該惡意軟體採用多種技術逃避檢測，包括檔案膨脹、網路連接驗證及執行後自毀腳本等。攻擊者可透過此軟體竊取受害者的 iCloud 鑰匙串、瀏覽器密碼以及加密貨幣錢包等敏感資料。用戶應提高警惕，避免從不明來源下載軟體，及時更新操作系統安全補丁，並採取額外措施保護加密資產安全。

ChainCatcher 消息，据 Hackread.com 報導，網絡安全公司 Hudson Rock 在分析一份 LummaC2 信息竊取惡意軟件日誌時，發現了一台被感染的設備，其操作者疑似為朝鮮國家支持的黑客組織中的惡意軟件開發者。該設備曾被用於搭建支持 2025 年 2 月加密貨幣交易所 Bybit 價值 14 億美元竊取案的基礎設施。分析表明，該設備上發現的憑據與攻擊前註冊的、用於仿冒 Bybit 的域名存在關聯。設備本身配置高端，安裝了 Visual Studio、Enigma Protector 等開發工具，以及 Astrill VPN、Slack、Telegram 等通信和數據存儲類應用。其活動痕跡還顯示，攻擊者為實施釣魚攻擊，購買了相關域名並準備了虛假 Zoom 安裝程序。這一發現罕見地揭示了朝鮮支持的黑客行動中資產共享的內部運作細節。

ChainCatcher 消息，据 Cointelegraph 報導，Trustwave 的網絡安全研究團隊 SpiderLabs 最新報告，一種名為 "Eternidade Stealer" 的銀行木馬正通過 WhatsApp 在巴西大規模傳播。攻擊者利用虛假政府計劃通知、快遞信息和投資群組等社交工程手段誘騙用戶點擊惡意鏈接。一旦點擊，惡意軟件會同時感染設備並劫持 WhatsApp 賬戶，自動向受害者的聯絡人列表傳播。該木馬能夠掃描並竊取多家巴西銀行、金融科技公司和加密貨幣交易所的登錄憑證。為避免被檢測，該惡意軟件採用預設 Gmail 賬戶接收指令，而非固定伺服器地址。安全專家建議用戶對任何鏈接保持警惕，即使來自可信聯絡人，並保持軟件更新以防範此類攻擊。

ChainCatcher 消息，据 Decrypt 報導，谷歌威脅情報組最新報告顯示，已發現至少五種新型惡意軟體正在利用大型語言模型 (LLM) 動態生成和隱藏惡意代碼。其中，與朝鮮相關的黑客組織 UNC1069 被發現使用 Gemini 探測錢包數據並製作釣魚腳本，意圖盜取數字資產。這些惡意軟體採用 "實時代碼創建" 技術，通過調用外部 AI 模型如 Gemini 或 Qwen 2.5-Coder 來規避傳統安全檢測。谷歌表示已禁用相關賬戶並加強了模型訪問的安全措施。

ChainCatcher 消息，据 Cointelegraph 報導，根據安全公司 Mosyle 研究，新發現的惡意軟體 ModStealer 正針對 macOS、Windows 和 Linux 系統的加密貨幣用戶，竊取錢包私鑰及登錄憑證。該惡意軟體在上傳至 VirusTotal 平台後近一個月內未被主流殺毒引擎檢測。ModStealer 通過偽造招聘廣告傳播，尤其針對 Web3 開發者。用戶安裝惡意軟體包後，該程序會嵌入系統後台運行，竊取剪貼板數據、截取螢幕截圖並執行遠程命令。其代碼專門針對 Safari 和 Chromium 瀏覽器錢包擴展程序。ModStealer 通過註冊後台代理在 macOS 持續駐留，伺服器位於芬蘭但可能經德國基礎設施掩蓋操作者來源。區塊鏈安全公司 Hacken 技術主管建議開發者驗證招聘方及域名真實性，要求通過公共代碼庫分享測試任務，並在無錢包及密鑰的臨時虛擬機中打開文件。強調需嚴格區分開發環境與錢包存儲環境，使用硬體錢包並在設備顯示屏核對交易地址。

ChainCatcher 消息，据市場消息，安全公司 Mosyle 披露跨平台惡意軟體 ModStealer，能透過偽裝為後台助手程式，繞過主流殺毒軟體檢測，專門竊取 Windows、Linux 和 macOS 系統上的瀏覽器加密錢包數據。該軟體透過偽裝招聘廣告傳播，目標為已安裝 Node.js 環境的開發者。ModStealer 可自動運行並收集錢包擴展、系統憑證和數字證書，隨後將數據上傳至遠程 C2 伺服器。安全專家警告，該惡意軟體對加密用戶和平台構成直接威脅，可能導致私鑰、助記詞和 API 密鑰洩露，引發大規模鏈上攻擊。

ChainCatcher 消息，DuckDB 官推發文稱，DuckDB 的 Node.js 和 Wasm 軟體包在近期 npm 供應鏈攻擊中被植入惡意軟體。官方已調查並棄用受影響版本，同時發布新版本。DuckDB 表示，根據 npm 數據，暫無用戶下載受影響包。團隊已發布安全公告，詳述事後分析及應對措施。

ChainCatcher 消息，据 ReversingLabs 研究人員披露，7 月發布的 NPM 包 "colortoolsv 2" 和 "mimelib 2" 利用以太坊智能合約隱藏惡意 URL，避免安全掃描。這些軟體包作為下載器運行，從智能合約中獲取命令與控制伺服器地址，再下載二階段惡意軟體，使區塊鏈流量看似合法，從而加大檢測難度。研究指出，這是首次發現以太坊智能合約被用於托管惡意命令 URL，顯示攻擊者在開源倉庫中規避檢測的策略正快速演化。