OkoBot恶意软件动用20个模块,专窃比特币(BTC)钱包助记词
BTC/USDT
US$5,155,726,142.40
US$64,669.50 / US$63,884.35
差价: US$785.15 (1.23%)
+0.0018%
多头支付
加密货币新闻
安全研究人员曝光了一款名为OkoBot的恶意软件框架,其核心目标只有一个——窃取加密货币钱包的助记词,直指比特币(BTC)持有者的命门。从我们研读的这份披露来看,这套框架已运作约一年,由大约20个独立模块拼装而成,目前至少已在五个国家造成用户资产受损:巴西、越南、加拿大、墨西哥和土耳其。值得玩味的是,其运营者刻意屏蔽了来自俄罗斯及其他独联体国家的IP地址。模块化设计让攻击者能从一台被感染的电脑上同时收割钱包文件、浏览器数据和登录凭据。由于助记词等同于钱包的完全控制权,一旦泄露,受害者几乎注定血本无归——链上转账不可逆,被盗资金基本无从追回。
这条感染链的起点不是软件漏洞,而是社会工程学。OkoBot通过伪装成正规工具的GitHub代码仓库传播,其中包括一个仿冒的Microsoft SQL Server Management Studio安装包。我们注意到,此次行动大量使用了所谓ClickFix手法:先抛出虚假的报错提示、验证弹窗或修复说明,诱骗受害者把恶意命令亲手粘贴进自己的终端并执行,后门便在无声无息中被装上。这种打法之所以能绕开传统防御,正是因为执行载荷的是用户本人而非某个漏洞利用——安全团队发现,比特币和其他山寨币持有者正日益成为此类攻击的靶心。
整套窃取行动的中枢是一个名为SeedHunter的模块,它会渲染出一套以假乱真的助记词恢复界面,模仿Ledger、Trezor等硬件钱包的样式。当用户在这个伪造页面里敲入12或24个单词的助记词时,数据便被直接回传给幕后运营者,对方随即可以重建钱包并将其掏空。这一手法精准锁定了硬件钱包本应永久离线保管的那一串秘密。对任何自托管钱包的用户,这里的教训直白无比:真正的硬件设备绝不会要求你把助记词重新输入到电脑窗口里。
另有两个模块进一步扩大了监控面。MC Keylogger负责记录键盘输入并盯住剪贴板动向,实时截获密码和被复制的钱包地址;OkoSpyware则追踪钱包密码,甚至会录下打开窗口的视频画面以窥探受害者的一举一动。二者联手,直接瓦解了许多交易者自以为安全的复制粘贴习惯,还能悄然截获交易所账户,乃至同一台设备上运行的自动化AI交易机器人的凭据。该框架能从单一主机上抓取多种数据,意味着一次疏忽的安装就可能暴露整个投资组合,而不只是某一个钱包或账号。
OkoBot并非凭空冒出。研究人员将它溯源到2025年一场代号TookPS的行动——当时攻击者借助伪造的软件下载站推送木马下载器;他们同时确认,自2026年1月以来已有多起攻击与这一新家族相关联。这一代最与众不同之处在于它的「管道」:全部20个载荷都通过单一的SSH隧道来调度,这是一条加密通道,将失窃数据从被感染电脑输送至攻击者控制的机器,同时隐匿于正常网络流量之中。研究人员警告称,这种模块化、可复用的结构大幅降低了模仿者的门槛,意味着专攻助记词的衍生工具包可能远远扩散到原班人马之外。
这轮攻势针对的还有建设加密世界的人本身。区块链安全研究机构另发现一套骗局:攻击者在LinkedIn上冒充Web3招聘方,向求职者递上伪装成「最小可行产品」的虚假GitHub仓库,要求面试前先跑一遍代码。运行这段代码——技术筛选中再平常不过的一步——就会植入一个远程访问木马,窃取项目密钥、云凭据和钱包插件数据。一起相关行动则瞄准macOS用户,意在劫持其Telegram会话。这些诱饵没有一个牵涉到真正的代币空投,却都借用了同一套以信任为支点的话术来卸下目标的防备。
把这些事件放在一起读,会发现它们讲的是同一套策略而非各自为战:攻击者已从破解密码学转向击穿人性信任,把GitHub、LinkedIn和伪造钱包界面统统武器化,直取助记词。COINOTAG自有的市场数据进一步说明了时点为何关键——恐慌与贪婪指数已跌至25(极度恐慌),比特币市场占有率逼近69.9%,加密货币总市值约为1.85万亿美元,那些惊慌失措、急着保管或转移资金的持有者,恰恰是社会工程学工具包最垂涎的猎物。在我们看来,运营安全如今守护资本的分量,已不亚于任何一道支撑位或历史最高价;一串被攻破的助记词,能抹去任何行情反弹都无法挽回的全部收益。
COINOTAG 不提供金融咨询服务。本内容仅供参考,不应被视为投资建议。加密货币投资具有高风险。
相关标签
本文由人工智能辅助生成、经 AI 审核,并在 COINOTAG 编辑监督 下发布。
