同時關聯該項目與事件的快訊
Bybit 安全運營中心發現一項針對搜索 AI 開發工具 Claude Code 的 macOS 用戶的多階段惡意軟件攻擊活動。 攻擊者通過搜索引擎優化投毒將惡意域名推至 Google 搜索結果前列,並誘導用戶進入仿冒安裝頁面,進而竊取瀏覽器憑據、 macOS 鑰匙串、 Telegram 會話、 VPN 配置及加密錢包信息。 Bybit 表示,該惡意軟件還可通過後門程序建立持久化訪問,並嘗試針對超過 250 個瀏覽器錢包擴展及多個桌面錢包應用。此次惡意基礎設施於 3 月 12 日被識別,相關分析、緩解和檢測措施已於當日完成。
Telegram 創始人 Pavel Durov 在 X 平臺發文稱,歐盟擬推廣的“年齡驗證應用”在設計上存在缺陷,僅用數分鐘即被攻破,原因在於其信任用戶設備的架構存在根本性安全問題。該方案被定位爲“隱私友好”,但實際可被輕易破解,其發展路徑總結爲:先推出看似保護隱私但存在漏洞的系統,在被攻破後,再以“修復”爲由削弱隱私保護,最終演變爲以隱私爲名的監控工具,這類“意外漏洞事件”可能被用作擴大監管,呼籲公衆保持警惕。
據 Elastic Security Labs 披露,威脅行爲者冒充風險投資公司,通過 LinkedIn 和 Telegram 引誘目標打開攜帶惡意代碼的 Obsidian 筆記庫。此次攻擊利用 Obsidian 的 Shell Commands 插件,在受害者打開筆記庫時無需利用漏洞即可執行惡意載荷。 攻擊中發現的 PHANTOMPULSE 是一種此前未被記錄的 Windows 遠程訪問木馬(RAT),其通過以太坊交易數據實現區塊鏈 C2 通信。macOS 端載荷則採用混淆的 AppleScript 投遞器,並以 Telegram 頻道作爲備用 C2。Elastic Defend 在 PHANTOMPULSE 執行前及時檢測並阻止了該攻擊。
Zerion 披露其部分公司熱錢包近日遭受與北韓有關黑客的 AI 驅動社交工程攻擊,損失約 10 萬美元。Zerion 表示,用戶資金、應用及基礎設施未受影響,已主動關閉 Web 應用以防風險。 此次事件爲本月第二起類似攻擊,繼 Drift Protocol 被盜 2.8 億美元后,顯示北韓黑客正通過 AI 優化社交工程手段,主要針對加密公司員工及開發者。安全聯盟(SEAL)追蹤發現,相關黑客組織 UNC1069 通過 Telegram、LinkedIn 和 Slack 等平臺,實施多周低壓社交工程活動,並利用 AI 工具編輯圖像和視頻以提升攻擊效率。