卡巴斯基揭露針對加密貨幣投資者的 OkoBot 惡意程式框架

Kaspersky 在週三的一份報告中揭露了一個新的惡意程式框架,針對加密貨幣投資人。該惡意程式被命名為 OkoBot,它會透過 ClickFix 等社交工程手法啟動感染鏈,誘騙使用者執行惡意指令,或是移植木馬的 GitHub 應用程式,將後門投送到遭感染的裝置。Kaspersky 指出,2026 年 1 月以來,已出現多起使用這個惡意程式家族的攻擊。該惡意程式能擷取加密貨幣錢包檔案、瀏覽器資料與使用者憑證,植入惡意擴充功能,並擷取錢包應用程式視窗以竊取資產。該惡意程式框架由 TookPS 演進而來;TookPS 是一個在 2025 年首次被發現的惡意程式攻擊活動,透過假冒軟體網站散布木馬下載程式。

OkoBot 框架透過 SSH 憑證隧道架構運作

OkoBot 與先前的攻擊活動不同之處在於,它透過 SSH 憑證隧道編排全部 20 個惡意有效載荷,讓惡意程式得以將來自遭感染電腦的資料遠端傳輸到由攻擊者控制的遠端機器。Kaspersky 補充表示,該框架也為複製攻擊打開了大門。

Original OkoBot infection chain. Source: Kaspersky

假冒 LinkedIn 招募活動,透過惡意 GitHub 代碼庫針對 Web3 開發者

依據慢霧(SlowMist)表示,另一項惡意程式攻擊活動目標是滲透 Web3 開發者的裝置,手法是透過假冒的 LinkedIn 招募機會。攻擊者會透過 LinkedIn 接觸區塊鏈開發者,假扮成 Web3 招募人員;慢霧在週六的報告中指出,該區塊鏈安全公司隨後會向受害者傳送假冒的 GitHub 代碼庫,聲稱其中包含「最小可行產品」,需要在面試前先進行測試。

慢霧指出,此工作流程與合法的技術面試非常相似:開發者拉取程式碼、安裝相依套件並啟動專案,因此難以察覺攻擊。該惡意程式旨在投送完整的遠端存取木馬並感染裝置,使攻擊者能從這些開發者處竊取專案金鑰、雲端憑證,或錢包擴充功能資料。

慢霧撰文表示,這起攻擊並非孤立個案;最近的事件顯示,攻擊者正愈來愈多地利用招募、程式碼審查與專案協作等情境,騙使開發者主動執行惡意代碼庫。該報告發布的前一天,慢霧曾警告另一項針對 macOS 使用者的惡意程式攻擊活動,目的是竊取他們的憑證,並劫持他們的 Telegram 連線,最終透過假網站騙使投資人輸入他們的錢包復原口令。

常見問題

OkoBot 惡意程式是什麼?何時被發現?

OkoBot 是一個針對加密貨幣投資人的惡意程式框架,Kaspersky 在週三的一份報告中揭露。Kaspersky 指出,自 2026 年 1 月以來,已出現多起使用這個惡意程式家族的攻擊。該惡意程式會透過 ClickFix 等社交工程手法,或是移植木馬的 GitHub 應用程式來啟動感染,並能擷取加密貨幣錢包檔案、瀏覽器資料、使用者憑證,植入惡意擴充功能,以及擷取錢包應用程式視窗。

假冒的 LinkedIn 招募活動如何針對 Web3 開發者?

依據慢霧在週六的報告,攻擊者會透過 LinkedIn 與區塊鏈開發者聯繫,假扮成 Web3 招募人員。他們會向受害者傳送假冒的 GitHub 代碼庫,聲稱其中包含需要在面試前先嘗試的最小可行產品。該工作流程類似於合法的技術面試:開發者拉取程式碼、安裝相依套件並啟動專案,因此難以察覺攻擊。該惡意程式會投送遠端存取木馬,竊取專案金鑰、雲端憑證或錢包擴充功能資料。

免責聲明:本頁面資訊可能來自第三方來源,僅供參考,不代表 Gate 的立場或觀點,亦不構成任何財務、投資或法律建議。虛擬資產交易具有高風險,請勿僅依賴本頁資訊作出決策。詳情請參閱 免責聲明
回覆
0/400
暫無回覆