卡巴斯基揭露針對加密貨幣錢包的 OkoBot 惡意程式框架

Kaspersky 依據週三的一份報告揭露了一個針對加密貨幣投資者的新型惡意程式框架。該惡意程式被稱為 OkoBot,它透過 ClickFix 等社交工程手法啟動感染鏈,並利用被木馬化的 GitHub 應用程式向受感染裝置投遞後門。Kaspersky 自 2026 年 1 月以來已辨識出多起涉及這個惡意程式家族的攻擊。該惡意程式由 TookPS 演變而來;TookPS 是一項最初於 2025 年被識別的活動,透過假冒軟體網站散佈木馬下載器。另據 SlowMist 於週六表示,已有一項惡意程式活動正透過假冒的 LinkedIn 招募機會鎖定 Web3 開發者,並透過惡意 GitHub 程式庫(冒充技術面試資料)投遞遠端存取木馬。

OkoBot Framework Harvests Wallet Files Through SSH Tunnel Architecture

Kaspersky 在報告中寫道,OkoBot 惡意程式能蒐集加密貨幣錢包檔案、瀏覽器資料與使用者憑證,注入惡意擴充功能,並擷取錢包應用程式視窗以竊取資產。該框架透過使用 SSH 通道協調全部 20 個惡意有效載荷,這與先前活動不同;因此資料可由受感染電腦遠端傳輸到由攻擊者控制的遠端機器。Kaspersky 也補充說明,該惡意程式框架為仿冒攻擊打開了方便之門。

Fake LinkedIn Recruiters Deliver Trojans via GitHub Repositories

據 SlowMist 稱,攻擊者會透過 LinkedIn 與區塊鏈開發者聯繫,假扮成 Web3 招募人員。他們會向受害者寄送假冒的 GitHub 程式庫,聲稱其中包含在面試之前需要先嘗試的最小可行產品。該區塊鏈安全公司在週六的一份報告中表示,該工作流程與合法的技術面試高度相似:開發者拉取程式碼、安裝相依套件並啟動專案,因此不易察覺攻擊。該惡意程式旨在投遞完整的遠端存取木馬以感染裝置,讓攻擊者能從這些開發者處竊取專案金鑰、雲端憑證或錢包擴充資料。

SlowMist Links Attack to Broader Developer-Targeting Campaign

SlowMist 寫道,這起攻擊並非孤立案例,並指出近期事件顯示,攻擊者正愈來愈多地利用招募、程式碼審查與專案協作等情境,誘騙開發者主動執行惡意程式庫。該報告發布的前一天,SlowMist 曾警告有另一項鎖定 macOS 使用者的惡意程式活動,目的在於竊取他們的憑證並劫持其 Telegram 工作階段,進而透過假網站最終騙使投資者輸入其錢包復原金鑰詞組。

FAQ

OkoBot 惡意程式是什麼?何時被識別?
OkoBot 是一個鎖定加密貨幣投資者的惡意程式框架,Kaspersky 於週三的報告中揭露。Kaspersky 已辨識出自 2026 年 1 月以來多起涉及這個惡意程式家族的攻擊。該惡意程式透過 ClickFix 等社交工程策略啟動感染鏈,並利用被木馬化的 GitHub 應用程式。

假冒 LinkedIn 招募活動如何鎖定 Web3 開發者?
據 SlowMist 於週六的報告所述,攻擊者會透過 LinkedIn 與區塊鏈開發者聯繫,假扮成 Web3 招募人員。他們向受害者寄送假冒的 GitHub 程式庫,聲稱其中包含在面試之前需要先嘗試的最小可行產品。該工作流程類似合法的技術面試,使攻擊不易被察覺。

OkoBot 惡意程式會從受感染裝置竊取哪些資料?
據 Kaspersky 所述,OkoBot 惡意程式可蒐集加密貨幣錢包檔案、瀏覽器資料與使用者憑證,注入惡意擴充功能,並擷取錢包應用程式視窗以竊取資產。該框架透過 SSH 通道協調全部 20 個惡意有效載荷,從而可將資料由受感染電腦遠端傳輸到由攻擊者控制的機器。

免責聲明:本頁面資訊可能來自第三方來源,僅供參考,不代表 Gate 的立場或觀點,亦不構成任何財務、投資或法律建議。虛擬資產交易具有高風險,請勿僅依賴本頁資訊作出決策。詳情請參閱 免責聲明
回覆
0/400
暫無回覆