新型恶意软件幽灵爪瞄准苹果设备加密钱包
一款名为幽灵爪的新型恶意程序正针对运行在苹果操作系统上的加密钱包实施定向攻击。该恶意软件以开源命令行工具“爪”的安装包形式出现,实则为精心设计的多阶段攻击载体,可在用户无察觉的情况下盗取私钥、访问权限及其他核心敏感信息。
潜伏一周后感染百余名开发者
该伪造安装包于3月3日由同名账户上传至某软件注册平台,持续存在长达七天,直至3月10日才被下架。在此期间,已有178名开发者中招。尽管外观与合法工具一致,其背后执行的却是复杂的网络入侵流程。
一旦激活,恶意程序即开始收集包括加密钱包资料、系统密钥链密码、云服务登录凭据、SSH密钥以及人工智能代理配置等关键数据。这些信息被用于远程操控开发者的云端资源、代码仓库及数字资产账户,造成严重安全隐患。
每三秒扫描剪贴板并隐蔽部署
该恶意软件具备实时剪贴板监控能力,每隔三秒便自动检测内容,专盯私钥、助记词、公钥等与加密交易相关的高价值信息。当用户执行安装指令时,隐藏脚本会悄然在系统全局范围内安装恶意组件,并通过代码混淆手段规避主流安全防护机制。
安装界面诱导用户通过密钥链输入系统密码,恶意程序利用系统原生工具完成验证后,立即从远程服务器下载第二阶段载荷——名为“幽灵加载器”的模块。此模块兼具数据窃取与远程控制双重功能,可长期驻留并扩展攻击范围。
多维度数据窃取与远程操控能力
第二阶段程序启动后,将全面扫描浏览器缓存、系统密钥链及外接存储设备中的钱包文件,同时持续监控剪贴板动态。更令人担忧的是,该软件可克隆已认证的浏览器会话,使攻击者直接进入受保护的加密钱包平台,实现无缝登录。
此外,它还能获取连接各类人工智能服务的应用接口令牌,进一步扩大攻击面。窃取的数据通过多重加密通道回传至攻击者服务器,且该程序支持执行任意系统命令、部署额外恶意模块,并开启反向连接通道,形成持久化控制。
借势虚假代币空投实施社会工程攻击
研究人员还发现,另一波以“开源爪”热度为掩护的恶意活动正在代码托管平台蔓延。攻击者在项目讨论区发布议题,宣称部分开发者有资格领取价值五千美元的特定代币,制造稀缺性诱惑。
此类诱导信息引导目标访问伪装成官方页面的钓鱼站点。专家警告,若用户在该类网站授权钱包连接,极可能遭遇资产瞬间清零的风险。技术分析揭示,攻击链路经过多级跳转,最终指向恶意指令服务器,植入的脚本会窃取钱包地址、交易历史并实时上报。
目前,研究人员已追踪到攻击者关联的钱包地址。该恶意代码具备操作行为监控与本地数据清除功能,极大提升溯源与分析难度。两类攻击均依赖社会工程学策略,提醒用户切勿随意授权未知网站访问钱包,对社交平台上未核实的“赠币”活动保持高度警惕。