木馬

ChainCatcher 消息，安全研究機構 Elastic Security Labs 披露一起針對金融及加密貨幣行業人員的新型社會工程攻擊活動，攻擊者在 LinkedIn 和 Telegram 上偽裝成風險投資機構，誘騙目標打開內置惡意載荷的 Obsidian 筆記庫，進而部署此前從未被記錄的 Windows 遠控木馬 PHANTOMPULSE。該攻擊無需利用任何軟體漏洞，而是濫用 Obsidian 的 Shell Commands 插件在筆記庫打開時自動執行惡意代碼；macOS 端則透過混淆的 AppleScript 投放器配合 Telegram 頻道作為備用指令控制伺服器，Windows 端更藉助以太坊交易數據實現區塊鏈化的 C2 地址解析。

ChainCatcher 消息，攻擊者竊取了 JavaScript 最流行 HTTP 客戶端庫 Axios 首席維護者的 npm 存取令牌，並利用該令牌發布了兩個包含跨平台遠端存取木馬（RAT）的惡意版本（[email protected] 和 [email protected]），目標覆蓋 macOS、Windows 及 Linux 系統。惡意包在 npm 註冊表上存活約 3 小時後被移除。據安全公司 Wiz 數據，Axios 每週下載量超 1 億次，存在於約 80% 的雲和程式碼環境中。安全公司 Huntress 在惡意包上線 89 秒後即檢測到首批感染，並在暴露窗口期內確認至少 135 個系統遭到入侵。值得注意的是，Axios 專案此前已部署了 OIDC 可信發布機制和 SLSA 溯源證明等現代安全措施，但攻擊者完全繞過了這些防線。調查發現，專案在配置 OIDC 的同時仍保留了傳統長期有效的 NPM_TOKEN，而 npm 在兩者共存時預設優先使用傳統令牌，使得攻擊者無需突破 OIDC 即可完成發布。

ChainCatcher 消息，GoPlus 中文社區在 X 平台發布預警稱，朝鮮黑客向 npm 註冊表發布了一組 26 個惡意軟體包，這些惡意軟體包都附帶一個安裝腳本 ("install.js")，該腳本會在軟體包安裝過程中自動執行，進而運行位於 "vendor/scrypt-js/version.js" 中的惡意代碼。惡意代碼會透過同一惡意 URL 下載並執行遠程訪問木馬（RAT），實施鍵盤記錄、剪貼板竊取、瀏覽器憑據收集、TruffleHog 秘密掃描 Git 倉庫和 SSH 金鑰竊取等惡意行為。此次事件與一個名為 "Famous Chollima" 的朝鮮黑客活動相關。

ChainCatcher 消息，慢霧首席信息安全官 23pds 在 X 平台提醒稱，一種名為 "graphalgo" 的虛假招聘活動正在利用遠程訪問木馬（RAT）攻擊加密貨幣開發人員。

ChainCatcher 消息，慢霧首席信息安全官 23pds 發文分享稱，活躍於 macOS 平台的 MacSync Stealer 惡意軟體已出現明顯演進，已有用戶資產被盜。其轉發的文章提到，從早期依賴 "拖拽到終端"、"ClickFix"等低門檻誘導手法，升級為代碼簽名並通過蘋果公證（notarized）的 Swift 應用程序，顯著提升隱蔽性。研究人員發現，該樣本以名為 zk-call-messenger-installer-3.9.2-lts.dmg 的磁碟映像形式傳播，通過偽裝成即時通訊或工具類應用誘導用戶下載。與以往不同，新版本無需用戶進行任何終端操作，而是由內置的 Swift 輔助程序從遠程伺服器拉取並執行編碼腳本，完成信息竊取流程。該惡意程序已完成代碼簽名並通過蘋果公證，開發者團隊 ID 為 GNJLS3UYZ4，相關哈希在分析時尚未被蘋果吊銷。這意味著其在默認 macOS 安全機制下具有更高的 "可信度"，更容易繞過用戶警惕。研究還發現，該 DMG 體積異常偏大，內含 LibreOffice 相關 PDF 等誘餌文件，用於進一步降低懷疑。安全研究人員指出，此類信息竊取木馬常以瀏覽器數據、賬戶憑據、加密錢包信息為主要目標。隨著惡意軟體開始系統性濫用蘋果簽名與公證機制，加密資產用戶在 macOS 環境下面臨的釣魚與私鑰洩露風險正在上升。

ChainCatcher 消息，慢霧科技首席信息安全官 23pds 在 X 平台發文稱，AMOS 竊密木馬的變種 Odyssey，正在通過推特等渠道投放虛假 AI 工具廣告，誘導用戶下載偽裝為 AI 工具客戶端的惡意軟件。它使用 AppleScript 腳本作為主要載荷，竊取系統信息、瀏覽器數據、加密貨幣錢包信息等敏感數據。

ChainCatcher 消息，据 Cointelegraph 報導，安全公司 Check Point 警告，自 2024 年 3 月起活躍的名為"JSCEAL"的惡意軟體，已通過假冒幣安、MetaMask、Kraken 等近 50 款常用加密應用，藉廣告誘導用戶下載植入木馬程序，全球影響人數或超千萬。該木馬採用 JavaScript 語言並具反檢測機制，可竊取錢包信息、帳戶密碼、Telegram 數據及瀏覽器 Cookie，主要通過 Facebook 等平台投放廣告傳播。

ChainCatcher 消息，据 Cointelegraph 報導，美國國會議員瑪喬麗·泰勒·格林（Marjorie Taylor Greene）表示，《GENIUS 穩定幣法案》為政府推行央行數位貨幣（CBDC）開闢了"後門"，只是偽裝成由私人發行的加密代幣。她指出，受監管的穩定幣具備"功能性監控能力"，與 CBDC 在本質上無異。格林在社交平台進一步表示："該法案通過監管穩定幣，為 CBDC 鋪路。美聯儲多年來一直在謀劃 CBDC，而這正是邁向無現金社會的關鍵一步。它可能演變為一個被極權政府操控的數位貨幣體系，決定你是否有權買賣商品。"她的言論與加密社區愈發強烈的擔憂不謀而合------越來越多的人警惕，受監管的穩定幣或許只是國家掌控數位資產的前奏。

ChainCatcher 消息，慢霧安全團隊最新情報顯示，朝鮮 Lazarus 黑客組織正在使用名為 OtterCookie 的新型竊密木馬，針對加密貨幣及金融從業者發起定向攻擊。共計手法包括偽造高薪職位面試/投資人洽談、使用深度偽造 (Deepfake) 視頻冒充招聘方、將惡意軟體偽裝成"編程測試題"或"系統更新包"。竊取目標包括瀏覽器保存的登錄憑證、macOS 鑰匙串中的密碼與數字證書，以及加密錢包信息及私鑰。慢霧建議，對主動提供的職位/投資邀約保持警惕，遠程面試需多重驗證，切勿運行來歷不明的可執行文件，尤其是所謂"技術測試題"或"更新補丁"，強化終端防護 (EDR)，部署殺毒軟體並定期排查異常進程。

ChainCatcher 消息，慢霧 SlowMist 發布安全警報，安卓銀行木馬"Crocodilus"在最近升級後，出現針對全球加密貨幣用戶和銀行應用程序的攻擊，主要威脅包括：通過 Facebook 廣告中的虛假瀏覽器更新進行傳播；使用覆蓋攻擊竊取登錄憑證；提取加密錢包助記詞和私鑰；將虛假的"銀行支持"號碼注入聯絡人列表；惡意軟件即服務：可租賃（每次攻擊 100-300 美元）。提醒用戶避免未知應用更新和廣告鏈接。

ChainCatcher 消息，慢霧科技首席信息安全官 23pds 在 X 平台發文稱，加密貨幣用戶警惕偽裝成 TradingView 破解版本的木馬。最近，AMOS 和 Lumma 信息竊取程序正在通過 Reddit 貼子傳播，專門針對加密貨幣用戶，竊取錢包和個人數據，受害者包括 Mac 和 Windows 用戶。

ChainCatcher 消息，据 Cointelegraph 報導，科技巨頭微軟發現了一種新型遠程訪問木馬（RAT），該木馬專門針對 Google Chrome 瀏覽器中的 20 種加密貨幣錢包擴展程序，竊取其中的加密資產。微軟事件響應團隊在 3 月 17 日的博客文章中透露，他們去年 11 月首次檢測到這款名為 StilachiRAT 的惡意軟件。該軟件能夠竊取存儲在瀏覽器中的憑證、數字錢包信息以及剪貼板數據。部署後，攻擊者可利用 StilachiRAT 掃描 20 種加密貨幣錢包擴展程序的配置信息，從而竊取加密錢包數據，這些錢包包括 Coinbase Wallet、Trust Wallet、MetaMask 和 OKX Wallet 等。微軟分析指出："對包含 RAT 功能的 StilachiRAT 的 WWStartupCtrl64.dll 模塊的研究表明，它採用了多種手段從目標系統中竊取信息。"除其他功能外，該惡意軟件還能提取保存在 Google Chrome 本地狀態文件中的憑證，並監控剪貼板活動以獲取密碼和加密密鑰等敏感信息。它還具備檢測規避和反取證功能，例如清除事件日誌和檢查是否在沙箱中運行，以阻止分析嘗試。目前，微軟尚無法確定該惡意軟件的幕後黑手，但希望通過公開分享信息減少潛在受害者數量。微軟建議用戶採取措施避免成為惡意軟件的受害者，包括在設備上安裝防病毒軟件、基於雲的反釣魚和反惡意軟件組件。

ChainCatcher 消息，据 Decrypt 報導，網絡安全公司 Kaspersky（卡巴斯基）發現黑客利用版權投訴威脅 YouTube 內容創作者，迫使其在視頻描述中添加加密挖礦木馬 SilentCryptoMiner。該惡意軟件基於 XMRig，用於挖掘 Ethereum、Ethereum Classic、Monero、Ravencoin 等加密貨幣，並通過比特幣區塊鏈控制殭屍網絡。黑客的主要目標是提供 Windows Packet Divert 驅動安裝教程的 YouTuber，他們先對視頻發起虛假版權投訴，再聯繫創作者聲稱自己是驅動的開發者，要求其添加惡意鏈接。目前已知一名 6 萬粉絲的 YouTuber 受害，導致 40,000 多人下載受感染文件，Kaspersky 估算至少 2,000 台設備已被感染。Kaspersky 安全研究員 Leonid Bezvershenko 警告稱，黑客正在利用 YouTuber 與觀眾之間的信任，此類威脅或將擴散至 Telegram 等平台。他建議用戶不要輕信要求關閉殺毒軟件的教程，並在下載任何文件前核驗來源，以防感染加密挖礦木馬。

ChainCatcher 消息，慢霧首席信息安全官 23pds 發文提醒，近日，知名加密貨幣盜竊木馬 MacOS Stealer 被突然開源。此前，其攻擊源碼以 1 BTC 的價格出售，而如今的開源意味著更多惡意攻擊者能夠輕鬆獲取這一工具。這不僅可能讓攻擊者"人手一個"攻擊庫，還可能催生出更加隱蔽和複雜的攻擊方式，為加密貨幣資產安全帶來更大的挑戰。

ChainCatcher 消息，dYdX 基金會首席執行官 Charles d'Haussy 在社交媒體上發文表示，在明天的 dYdX Day 活動中，演講者將揭示關於護城河、特洛伊木馬和飛輪的秘密。

ChainCatcher 消息，網絡安全公司 Doctor Web 近期報告稱，它檢測到偽裝成合法軟件的惡意軟件，例如辦公程序、遊戲作弊程序和在線交易機器人。該加密劫持和竊取軟件感染了超過 28,000 名用戶，主要在俄羅斯，但也包括白俄羅斯、烏茲別克斯坦、哈薩克斯坦、烏克蘭、吉爾吉斯斯坦和土耳其。據 Doctor Web 稱，黑客僅獲取了價值約 6,000 美元的加密貨幣。然而，尚不清楚惡意軟件的創建者從加密貨幣挖礦中賺了多少錢。該網絡安全公司表示，該惡意軟件的來源包括欺詐性的 GitHub 頁面和帶有惡意鏈接的 YouTube 視頻描述。一旦設備被感染，秘密部署的軟件就會劫持計算資源來挖掘加密貨幣。"Clipper"還監控用戶複製到其設備剪貼板上的加密錢包地址，然後惡意軟件將其替換為攻擊者控制的地址 - 這就是他們竊取少量加密貨幣的方式。

ChainCatcher 消息，慢霧創始人餘弦在 X 平台發文表示，Monoswap 被黑事件涉及使用偽造的 Kakao 視頻會議木馬軟體 kakaocall[.]kr。如果你下載過此軟體，建議立即安全轉移資產並進行殺毒重置。