AI助力Bybit Security 團隊發現針對搜尋 Claude Code 使用者的 macOS 惡意軟體攻擊活動
阿聯酋迪拜2026年4月23日 /美通社/ — 全球交易量第二大的加密貨幣交易所Bybit報告稱,其安全運營中心(SOC)披露了一項調查結果,詳細說明瞭一場針對搜尋「Claude Code」(Anthropic推出的AI開發工具)的macOS使用者發起的複雜多階段惡意軟體攻擊活動。 本次公開披露可能是中心化交易所該型別報告的首次發布,透過AI工具發現渠道發現針對開發者發起主動威脅攻擊的活動,凸顯了該行業在網路安全情報前沿領域日益重要的作用。 該攻擊活動於2026年3月首次被發現,其利用搜尋引擎最佳化(SEO)投毒手段,將惡意域名推至Google搜尋結果頂部。使用者會被重新定向至一個精心偽造的安裝頁面,該頁面與正規文件頁面高度相似,由此觸發一個兩階段的攻擊鏈,主要目的是竊取使用者憑證、瞄準加密貨幣資產,並獲取對系統的持久訪問許可權。 AI助力Bybit Security 團隊發現針對搜尋 Claude Code 使用者的 macOS 惡意軟體攻擊活動 初始有效負荷透過Mach-O病毒釋放器傳遞,部署一個基於osascript的資訊竊取程式,其特徵與已知的AMOS和Banshee變種相似。該程式執行多階段混淆序列,以竊取敏感資料,包括瀏覽器憑證、macOS鑰匙串條目、Telegram會話、VPN設定文件以及加密貨幣錢包資訊。Bybit研究人員發現,攻擊者針對250多個基於瀏覽器的錢包擴充套件程式和多個桌面錢包應用程式,發起了有針對性的訪問嘗試。 第二階段有效負荷引入一個基於C++的後門程式,該程式具備高階規避能力,包括沙箱檢測和執行時加密配置。惡意軟體透過系統級代理實現持久化駐留,並支援透過基於HTTP的輪詢機制執行遠端命令,使攻擊者能夠持續控制受感染的裝置。 Bybit的安全運營中心在整個惡意軟體分析生命週期中運用了AI輔助的工作流程,在保持分析深度的同時,顯著加快了回應速度。對Mach-O樣本的初步分類和判定在幾分鐘內便已完成,相關模型還標記出了該樣本與已知惡意軟體家族的行為相似性。 AI輔助的逆向工程和控制流分析,將第二階段後門程式的深度檢查所需時間,從預計的6至8小時大幅縮短至40分鐘以內。與此同時,自動化提取流程識別出了感染指標(IOC),包括命令控制基礎設施、文件特徵和行為模式,並將它們與已知威脅框架進行了匹配。 這些能力使得檢測措施在當天就能部署到位。AI輔助規則生成,助力建立威脅特徵和終端檢測規則,分析師在將其推送至生產環境前會進行驗證。AI生成的報告草稿進一步縮短了處理時間,使威脅情報成果的最終確定速度比傳統工作流程快了約70%。…