木马

ChainCatcher 消息，安全研究机构 Elastic Security Labs 披露一起针对金融及加密货币行业人员的新型社会工程攻击活动，攻击者在 LinkedIn 和 Telegram 上伪装成风险投资机构，诱骗目标打开内置恶意载荷的 Obsidian 笔记库，进而部署此前从未被记录的 Windows 远控木马 PHANTOMPULSE。该攻击无需利用任何软件漏洞，而是滥用 Obsidian 的 Shell Commands 插件在笔记库打开时自动执行恶意代码；macOS 端则通过混淆的 AppleScript 投放器配合 Telegram 频道作为备用指令控制服务器，Windows 端更借助以太坊交易数据实现区块链化的 C2 地址解析。

ChainCatcher 消息，攻击者窃取了 JavaScript 最流行 HTTP 客户端库 Axios 首席维护者的 npm 访问令牌，并利用该令牌发布了两个包含跨平台远程访问木马（RAT）的恶意版本（axios@1.14.1 和 axios@0.3.4），目标覆盖 macOS、Windows 及 Linux 系统。恶意包在 npm 注册表上存活约 3 小时后被移除。据安全公司 Wiz 数据，Axios 每周下载量超 1 亿次，存在于约 80% 的云和代码环境中。安全公司 Huntress 在恶意包上线 89 秒后即检测到首批感染，并在暴露窗口期内确认至少 135 个系统遭到入侵。值得注意的是，Axios 项目此前已部署了 OIDC 可信发布机制和 SLSA 溯源证明等现代安全措施，但攻击者完全绕过了这些防线。调查发现，项目在配置 OIDC 的同时仍保留了传统长期有效的 NPM_TOKEN，而 npm 在两者共存时默认优先使用传统令牌，使得攻击者无需突破 OIDC 即可完成发布。

ChainCatcher 消息，GoPlus 中文社区在 X 平台发布预警称，朝鲜黑客向 npm 注册表发布了一组 26 个恶意软件包，这些恶意软件包都附带一个安装脚本 (“install.js”)，该脚本会在软件包安装过程中自动执行，进而运行位于 “vendor/scrypt-js/version.js” 中的恶意代码。 恶意代码会通过同一恶意 URL 下载并执行远程访问木马（RAT），实施键盘记录、剪贴板窃取、浏览器凭据收集、TruffleHog 秘密扫描 Git 仓库和 SSH 密钥窃取等恶意行为。此次事件与一个名为 “Famous Chollima” 的朝鲜黑客活动相关。

ChainCatcher 消息，慢雾首席信息安全官 23pds 在 X 平台提醒称，一种名为 “graphalgo” 的虚假招聘活动正在利用远程访问木马（RAT）攻击加密货币开发人员。

ChainCatcher 消息，慢雾首席信息安全官 23pds 发文分享称，活跃于 macOS 平台的 MacSync Stealer 恶意软件已出现明显演进，已有用户资产被盗。 其转发的文章提到，从早期依赖 “拖拽到终端”、“ClickFix”等低门槛诱导手法，升级为代码签名并通过苹果公证（notarized）的 Swift 应用程序，显著提升隐蔽性。研究人员发现，该样本以名为 zk-call-messenger-installer-3.9.2-lts.dmg 的磁盘镜像形式传播，通过伪装成即时通讯或工具类应用诱导用户下载。与以往不同，新版本无需用户进行任何终端操作，而是由内置的 Swift 辅助程序从远程服务器拉取并执行编码脚本，完成信息窃取流程。 该恶意程序已完成代码签名并通过苹果公证，开发者团队 ID 为 GNJLS3UYZ4，相关哈希在分析时尚未被苹果吊销。这意味着其在默认 macOS 安全机制下具有更高的 “可信度”，更容易绕过用户警惕。研究还发现，该 DMG 体积异常偏大，内含 LibreOffice 相关 PDF 等诱饵文件，用于进一步降低怀疑。 安全研究人员指出，此类信息窃取木马常以浏览器数据、账户凭据、加密钱包信息为主要目标。随着恶意软件开始系统性滥用苹果签名与公证机制，加密资产用户在 macOS 环境下面临的钓鱼与私钥泄露风险正在上升。

ChainCatcher 消息，慢雾科技首席信息安全官 23pds 在 X 平台发文称，AMOS 窃密木马的变种 Odyssey，正在通过推特等渠道投放虚假 AI 工具广告，诱导用户下载伪装为 AI 工具客户端的恶意软件。 它使用 AppleScript 脚本作为主要载荷，窃取系统信息、浏览器数据、加密货币钱包信息等敏感数据。

ChainCatcher 消息，据 Cointelegraph 报道，安全公司 Check Point 警告，自 2024 年 3 月起活跃的名为“JSCEAL”的恶意软件，已通过假冒币安、MetaMask、Kraken 等近 50 款常用加密应用，借广告诱导用户下载植入木马程序，全球影响人数或超千万。该木马采用 JavaScript 语言并具反检测机制，可窃取钱包信息、账户密码、Telegram 数据及浏览器 Cookie，主要通过 Facebook 等平台投放广告传播。

ChainCatcher 消息，据 Cointelegraph 报道，美国国会议员玛乔丽·泰勒·格林（Marjorie Taylor Greene）表示，《GENIUS 稳定币法案》为政府推行央行数字货币（CBDC）开辟了“后门”，只是伪装成由私人发行的加密代币。她指出，受监管的稳定币具备“功能性监控能力”，与 CBDC 在本质上无异。 格林在社交平台进一步表示：“该法案通过监管稳定币，为 CBDC 铺路。美联储多年来一直在谋划 CBDC，而这正是迈向无现金社会的关键一步。它可能演变为一个被极权政府操控的数字货币体系，决定你是否有权买卖商品。” 她的言论与加密社区愈发强烈的担忧不谋而合——越来越多的人警惕，受监管的稳定币或许只是国家掌控数字资产的前奏。

ChainCatcher 消息，慢雾安全团队最新情报显示，朝鲜 Lazarus 黑客组织正在使用名为 OtterCookie 的新型窃密木马，针对加密货币及金融从业者发起定向攻击。 共计手法包括伪造高薪职位面试/投资人洽谈、使用深度伪造 (Deepfake) 视频冒充招聘方、将恶意软件伪装成“编程测试题”或“系统更新包”。 窃取目标包括浏览器保存的登录凭证、macOS 钥匙串中的密码与数字证书，以及加密钱包信息及私钥。 慢雾建议，对主动提供的职位/投资邀约保持警惕，远程面试需多重验证，切勿运行来历不明的可执行文件，尤其是所谓“技术测试题”或“更新补丁”，强化终端防护 (EDR)，部署杀毒软件并定期排查异常进程。

ChainCatcher 消息，慢雾 SlowMist 发布安全警报，安卓银行木马“Crocodilus”在最近升级后，出现针对全球加密货币用户和银行应用程序的攻击，主要威胁包括：通过 Facebook 广告中的虚假浏览器更新进行传播；使用覆盖攻击窃取登录凭证；提取加密钱包助记词和私钥；将虚假的“银行支持”号码注入联系人列表；恶意软件即服务：可租赁（每次攻击 100-300 美元）。提醒用户避免未知应用更新和广告链接。

ChainCatcher 消息，慢雾科技首席信息安全官 23pds 在 X 平台发文称，加密货币用户警惕伪装成 TradingView 破解版本的木马。最近，AMOS 和 Lumma 信息窃取程序正在通过 Reddit 帖子传播，专门针对加密货币用户，窃取钱包和个人数据，受害者包括 Mac 和 Windows 用户。

ChainCatcher 消息，据 Cointelegraph 报道，科技巨头微软发现了一种新型远程访问木马（RAT），该木马专门针对 Google Chrome 浏览器中的 20 种加密货币钱包扩展程序，窃取其中的加密资产。 微软事件响应团队在 3 月 17 日的博客文章中透露，他们去年 11 月首次检测到这款名为 StilachiRAT 的恶意软件。该软件能够窃取存储在浏览器中的凭证、数字钱包信息以及剪贴板数据。部署后，攻击者可利用 StilachiRAT 扫描 20 种加密货币钱包扩展程序的配置信息，从而窃取加密钱包数据，这些钱包包括 Coinbase Wallet、Trust Wallet、MetaMask 和 OKX Wallet 等。 微软分析指出：“对包含 RAT 功能的 StilachiRAT 的 WWStartupCtrl64.dll 模块的研究表明，它采用了多种手段从目标系统中窃取信息。”除其他功能外，该恶意软件还能提取保存在 Google Chrome 本地状态文件中的凭证，并监控剪贴板活动以获取密码和加密密钥等敏感信息。它还具备检测规避和反取证功能，例如清除事件日志和检查是否在沙箱中运行，以阻止分析尝试。 目前，微软尚无法确定该恶意软件的幕后黑手，但希望通过公开分享信息减少潜在受害者数量。微软建议用户采取措施避免成为恶意软件的受害者，包括在设备上安装防病毒软件、基于云的反钓鱼和反恶意软件组件。

ChainCatcher 消息，据 Decrypt 报道，网络安全公司 Kaspersky（卡巴斯基）发现黑客利用版权投诉威胁 YouTube 内容创作者，迫使其在视频描述中添加加密挖矿木马 SilentCryptoMiner。该恶意软件基于 XMRig，用于挖掘 Ethereum、Ethereum Classic、Monero、Ravencoin 等加密货币，并通过比特币区块链控制僵尸网络。 黑客的主要目标是提供 Windows Packet Divert 驱动安装教程的 YouTuber，他们先对视频发起虚假版权投诉，再联系创作者声称自己是驱动的开发者，要求其添加恶意链接。目前已知一名 6 万粉丝的 YouTuber 受害，导致 40,000 多人下载受感染文件，Kaspersky 估算至少 2,000 台设备已被感染。 Kaspersky 安全研究员 Leonid Bezvershenko 警告称，黑客正在利用 YouTuber 与观众之间的信任，此类威胁或将扩散至 Telegram 等平台。他建议用户不要轻信要求关闭杀毒软件的教程，并在下载任何文件前核验来源，以防感染加密挖矿木马。

ChainCatcher 消息，慢雾首席信息安全官 23pds 发文提醒，近日，知名加密货币盗窃木马 MacOS Stealer 被突然开源。 此前，其攻击源码以 1 BTC 的价格出售，而如今的开源意味着更多恶意攻击者能够轻松获取这一工具。这不仅可能让攻击者“人手一个”攻击库，还可能催生出更加隐蔽和复杂的攻击方式，为加密货币资产安全带来更大的挑战。

ChainCatcher 消息，dYdX 基金会首席执行官 Charles d'Haussy 在社交媒体上发文表示，在明天的 dYdX Day 活动中，演讲者将揭示关于护城河、特洛伊木马和飞轮的秘密。

ChainCatcher 消息，网络安全公司 Doctor Web 近期报告称，它检测到伪装成合法软件的恶意软件，例如办公程序、游戏作弊程序和在线交易机器人。该加密劫持和窃取软件感染了超过 28,000 名用户，主要在俄罗斯，但也包括白俄罗斯、乌兹别克斯坦、哈萨克斯坦、乌克兰、吉尔吉斯斯坦和土耳其。 据 Doctor Web 称，黑客仅获取了价值约 6,000 美元的加密货币。然而，尚不清楚恶意软件的创建者从加密货币挖矿中赚了多少钱。该网络安全公司表示，该恶意软件的来源包括欺诈性的 GitHub 页面和带有恶意链接的 YouTube 视频描述。 一旦设备被感染，秘密部署的软件就会劫持计算资源来挖掘加密货币。“Clipper”还监控用户复制到其设备剪贴板上的加密钱包地址，然后恶意软件将其替换为攻击者控制的地址 - 这就是他们窃取少量加密货币的方式。

ChainCatcher 消息，慢雾创始人余弦在 X 平台发文表示，Monoswap 被黑事件涉及使用伪造的 Kakao 视频会议木马软件 kakaocall[.]kr。如果你下载过此软件，建议立即安全转移资产并进行杀毒重置。