恶意软件

ChainCatcher 消息，慢雾首席信息安全官 23pds 在 X 平台披露，node-ipc 再次遭受入侵。发布的 node-ipc 三个恶意版本（9.1.6、9.2.3、12.1）携带相同的凭证窃取负载，该包每周下载量超过 1,000 万。

ChainCatcher 消息，据 Decrypt 报道，微软威胁情报部门披露，攻击者将恶意代码植入通过 PyPI 平台分发的 Mistral AI 软件包。该恶意代码在开发者于 Linux 系统使用时自动运行，下载名为 transformers.pyz 的恶意文件并在后台执行，文件名刻意模仿广泛使用的 Hugging Face Transformers 库以混淆视听。微软指出，该恶意软件主要窃取开发者登录凭证和访问令牌，并会避开俄语系统，部分代码可随机删除位于以色列或伊朗的设备文件。此次攻击与 9 月启动的“Shai-Hulud”供应链攻击活动相关。Mistral 回应称，调查显示攻击源于被入侵的开发者设备，公司基础设施未被攻破。

ChainCatcher 消息，据区块链安全机构 SlowMist (@SlowMist_Team) 旗下威胁监控系统 MistEye 监测，一款名为 “Mini Shai-Hulud” 的高度复杂 npm 蠕虫正通过 TanStack、UiPath、DraftLab 等知名开发者项目传播。攻击者劫持 GitHub 凭证，发布伪装成合法更新的恶意软件包，并在其中植入隐藏脚本 router_init.js，在 GitHub Actions 等 CI/CD 环境中静默运行，专门窃取 CI/CD 密钥、云基础设施密钥及加密货币钱包信息，并借助 GitHub 自身基础设施进行数据外传。 SlowMist 已向客户同步相关威胁情报 (IOC)，建议使用受影响软件包的项目立即排查 CI/CD 管道中是否存在 router_init.js 文件，轮换所有已暴露的 GitHub、云服务及加密货币凭证，并持续监控开发环境中的异常后台活动。

ChainCatcher 消息，据市场消息，微软安全研究团队发现，攻击者自 2025 年底起通过发布虚假的 macOS 故障排除指南，诱导用户运行恶意终端命令，从而窃取加密钱包、iCloud 数据和浏览器保存的密码。 这些虚假指南发布在 Medium、Craft 和 Squarespace 等平台上，针对用户常见问题如释放磁盘空间或修复系统错误，诱导用户复制并粘贴恶意命令至终端，该命令会自动下载并运行恶意软件。这种名为 ClickFix 的社会工程技术绕过 macOS 的 Gatekeeper 安全机制，因为受害者是主动执行命令。 涉及的恶意软件家族包括 AMOS、Macsync 和 SHub Stealer，可窃取 Exodus、Ledger 和 Trezor 的加密钱包密钥，以及 Chrome 和 Firefox 中保存的用户名和密码。部分情况下攻击者还会删除合法钱包应用并替换为木马版本。苹果已在 macOS 26.4 版本中增加了阻止粘贴潜在恶意命令的保护功能。

ChainCatcher 消息，据 OpenSourceMalware 研究，朝鲜黑客组织 Lazarus 在 “传染性面试” 和 “TaskJacker” 等针对开发者的恶意活动中采用了新手法，将第二阶段加载器隐藏在 Git Hooks 的 pre-commit 脚本中。“传染性面试”是该组织通过伪造加密货币/DeFi 领域招聘流程，诱使开发者克隆恶意代码仓库的系列攻击活动，最终窃取加密资产和凭证。研究员建议，被要求克隆代码仓库作为面试流程一部分的开发者，应警惕此类风险，最好在隔离环境中运行，避免挂载个人浏览器配置、SSH 密钥和加密钱包。

ChainCatcher 消息，据慢雾 CISO @im23pds 在 X 平台发文披露：攻击者利用 13 个账户，向 Hugging Face 和 ClawHub 植入 575 个恶意 Skills。

ChainCatcher 消息，前端云平台 Vercel 首席执行官 Guillermo Rauch 发推表示，团队已完成深入安全调查，分析范围覆盖近 1 PB 的完整 Vercel 网络和 API 日志，远超最初 Context.ai 账户入侵事件。 调查显示，攻击者活动范围超出 Context.ai，并已在更广泛范围内分发恶意软件，目标是窃取 Vercel 等平台的账户密钥。一旦获得密钥，攻击者会快速、全面地枚举非敏感环境变量。目前采取的措施包括与 Microsoft、AWS、Wiz 等行业伙伴深化合作，共同保护更广泛的互联网生态；已通知其他疑似受害者，建议立即轮换凭证并加强安全最佳实践。

ChainCatcher 消息，据 CoinDesk 报道，据 CertiK 监测，Lazarus 集团正在针对金融科技及加密货币行业高管开展名为 Mach-O Man 的攻击行动。该操作利用 ClickFix 社交工程技术，通过发送虚假在线会议邀请，诱导受害者在 Mac 终端粘贴修复指令，从而获取公司及财务系统访问权限。 CertiK 研究员 Natalie Newson 表示，Lazarus Group 过去两周通过 Drift 和 KelpDAO 攻击已窃取超 5 亿美元。Mach-O Man 是由 Lazarus Group 下属 Chollima 部门开发的模块化 macOS 恶意软件工具包，能够在使用后自动删除以规避检测。 此外，已有攻击者通过劫持 DeFi 项目域名并替换为虚假 Cloudflare 消息的方式实施该攻击。

ChainCatcher 消息，据区块链安全机构慢雾（SlowMist）监测，MistEye 收到来自社区的威胁情报，称一个名为“MacSync Stealer”（v1.1.2）的恶意软件正在活跃并具高度破坏性。该恶意软件针对 macOS 用户，窃取敏感数据，包括加密钱包、浏览器凭证、系统钥匙串以及基础设施密钥（SSH/AWS/K8s）。 该恶意软件利用伪造的 AppleScript 系统对话框进行钓鱼，并在数据泄露后显示“不支持”的假错误信息。其已即时将这一 IOC（指标）同步给客户。请勿执行未经验证的 macOS 脚本，并对意外的系统密码提示保持高度警惕。如怀疑遭受攻击，需立即进行补救：更改所有基础设施凭证（SSH/AWS/K8s）、使已暴露的钥匙串失效，并迅速将加密资产迁移至安全钱包。

ChainCatcher 消息，Bybit 安全运营中心发现一项针对搜索 AI 开发工具 Claude Code 的 macOS 用户的多阶段恶意软件攻击活动。攻击者通过搜索引擎优化投毒将恶意域名推至 Google 搜索结果前列，并诱导用户进入仿冒安装页面，进而窃取浏览器凭据、macOS 钥匙串、Telegram 会话、VPN 配置及加密钱包信息。Bybit 表示，该恶意软件还可通过后门程序建立持久化访问，并尝试针对超过 250 个浏览器钱包扩展及多个桌面钱包应用。此次恶意基础设施于 3 月 12 日被识别，相关分析、缓解和检测措施已于当日完成。.

ChainCatcher 消息，攻击者窃取了 JavaScript 最流行 HTTP 客户端库 Axios 首席维护者的 npm 访问令牌，并利用该令牌发布了两个包含跨平台远程访问木马（RAT）的恶意版本（axios@1.14.1 和 axios@0.3.4），目标覆盖 macOS、Windows 及 Linux 系统。恶意包在 npm 注册表上存活约 3 小时后被移除。据安全公司 Wiz 数据，Axios 每周下载量超 1 亿次，存在于约 80% 的云和代码环境中。安全公司 Huntress 在恶意包上线 89 秒后即检测到首批感染，并在暴露窗口期内确认至少 135 个系统遭到入侵。值得注意的是，Axios 项目此前已部署了 OIDC 可信发布机制和 SLSA 溯源证明等现代安全措施，但攻击者完全绕过了这些防线。调查发现，项目在配置 OIDC 的同时仍保留了传统长期有效的 NPM_TOKEN，而 npm 在两者共存时默认优先使用传统令牌，使得攻击者无需突破 OIDC 即可完成发布。

ChainCatcher 消息，据 GoPlus Security 披露，一款名为 Infiniti Stealer 的窃密恶意软件正通过 “ClickFix” 社会工程学攻击手法，针对 Mac 用户的加密钱包及敏感凭证实施窃取。 攻击者伪造高度仿真的 Cloudflare 验证码页面，诱导用户打开终端并手动粘贴执行恶意命令。命令执行后，脚本将移除 macOS 隔离属性，并将后续载荷写入 /tmp 目录静默运行。最终载荷为经 Nuitka 编译的原生 macOS 二进制文件，大幅提升了安全工具的检测难度。Infiniti Stealer 一旦部署，可窃取 Chromium / Firefox 浏览器凭证、macOS 钥匙串、加密钱包及开发者密钥文件（如 .env 文件），并具备沙箱检测与延迟执行能力以规避追踪。

ChainCatcher 消息，据 Cryptopolitan 报道，一款名为 GhostClaw 的新型恶意软件正在针对 macOS 设备上的加密钱包。 该恶意软件通过伪装成合法的 OpenClaw CLI 工具，在 npm 注册表中存在一周时间，感染了 178 名开发者后被移除。一旦开发者运行 “npm install” 命令，隐藏脚本会全局安装 GhostClaw 包，并通过混淆的设置文件逃避检测。GhostClaw 每三秒扫描一次剪贴板，捕获私钥、助记词、公钥等加密钱包和交易相关数据。 在第二阶段的载荷下载后，GhostLoader 会扫描 Chromium 浏览器、macOS 钥匙串和系统存储中的加密钱包数据，克隆浏览器会话以获取已登录钱包的访问权限，并窃取连接 AI 平台（如 OpenAI 和 Anthropic）的 API Token。窃取的数据通过 Telegram、GoFile 和命令服务器发送给攻击者。

ChainCatcher 消息，黑客通过仿冒 Google Play 商店的钓鱼页面，在巴西发起 Android 恶意软件攻击活动。目前所有已知受害者均位于巴西。攻击者搭建了与 Google Play 高度相似的钓鱼网站，诱导用户下载名为“INSS Reembolso”的伪造应用。该应用安装后，将分阶段释放隐藏恶意代码，并直接加载至内存运行，设备上不留可见文件，具有较强的隐蔽性。恶意软件的核心功能之一为加密货币挖矿，内置针对 ARM 设备编译的 XMRig 挖矿程序，可在后台静默连接攻击者控制的挖矿服务器。该程序会监控电池电量、温度及设备使用状态，动态调整挖矿行为以规避检测，并通过循环播放静音音频文件绕过 Android 系统的后台进程管理机制。部分变种还内置银行木马，可在 Binance 和 Trust Wallet 的 USDT 转账界面叠加伪造页面，静默替换收款地址。此外，恶意软件支持录音、截屏、键盘记录及远程锁机等多项远程控制指令。

ChainCatcher 消息，据慢雾科技首席信息安全官 23pds 披露，情报系统发现名为 “@openclaw-ai/openclawai” 的恶意 npm 包正在实施多层攻击。 该恶意包伪装成名为 OpenClaw Installer 的合法命令行工具，旨在窃取用户敏感信息，包括系统凭证、加密钱包私钥、浏览器数据、SSH 密钥以及 Apple Keychain 数据库等。

ChainCatcher 消息，GoPlus 中文社区在 X 平台发布预警称，朝鲜黑客向 npm 注册表发布了一组 26 个恶意软件包，这些恶意软件包都附带一个安装脚本 (“install.js”)，该脚本会在软件包安装过程中自动执行，进而运行位于 “vendor/scrypt-js/version.js” 中的恶意代码。 恶意代码会通过同一恶意 URL 下载并执行远程访问木马（RAT），实施键盘记录、剪贴板窃取、浏览器凭据收集、TruffleHog 秘密扫描 Git 仓库和 SSH 密钥窃取等恶意行为。此次事件与一个名为 “Famous Chollima” 的朝鲜黑客活动相关。

ChainCatcher 消息，据 Cointelegraph 报道，黑客正利用 “ClickFix” 攻击手法窃取加密货币，最新两起攻击涉及冒充风险投资公司和劫持浏览器扩展程序。网络安全公司 Moonlock Lab 报告称，诈骗者冒充 SolidBit、MegaBit 和 Lumax Capital 等虚假 VC，通过 LinkedIn 联系用户提供合作机会，然后引导其点击虚假的 Zoom 和 Google Meet 链接。点击链接后，用户会被引导至带有伪造 Cloudflare “我不是机器人”验证框的页面，点击该框会将恶意命令复制到剪贴板，并提示用户打开终端粘贴所谓的验证码，从而执行攻击。Moonlock Lab 指出，这种手法让受害者成为执行机制，绕过了安全行业的防御措施。与此同时，黑客还通过劫持 Chrome 扩展程序 QuickLens 传播恶意软件。该扩展允许用户在浏览器中直接运行 Google Lens 搜索，在被转让所有权后，新版本包含恶意脚本，可发起 ClickFix 攻击并窃取信息。该扩展约有 7000 名用户，被劫持后会搜索加密钱包数据和助记词以窃取资金，还会抓取 Gmail 收件箱内容、YouTube 频道数据以及输入网页表单的登录凭证或支付信息。该扩展已被从 Chrome 网上应用店移除。ClickFix 技术自去年在黑客中流行，迫使受害者手动执行恶意负载，已影响全球数千企业及多个行业。

ChainCatcher 消息，GoPlus Security 警告用户提防一种名为 PromptSpy 的新型 Android 恶意软件。该恶意软件通过钓鱼网站（如伪装成银行网站）诱导用户下载 APK 文件，获取辅助功能权限后能远程控制设备。 PromptSpy 的特殊之处在于利用 Google Gemini API 分析设备界面并制定攻击策略，使其能更好地适应不同手机品牌和系统版本，提高攻击隐蔽性和成功率。

ChainCatcher 消息，黑客正通过在 Facebook 上投放假冒的 Windows 11 更新广告来窃取加密货币用户的资产。这些广告使用专业的 Microsoft 品牌标识，引导用户点击后会进入克隆的 Microsoft 网站，随后下载恶意软件。 该恶意软件会在受害者电脑上安装名为“LunarApplication”的框架，专门窃取加密货币钱包种子短语、登录凭证和其他敏感信息。黑客利用地理围栏技术避开数据中心 IP 地址，防止自动扫描器检测攻击。

ChainCatcher 消息，据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。 该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。 自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的“故障排除”指令。