Bybit 披露針對 macOS 用戶的惡意軟體攻擊

攻擊概述與手法

據 Bybit 官方披露，其安全運營中心（SOC）發現一起針對 macOS 用戶的複雜惡意軟體攻擊活動。攻擊者透過 SEO 投毒手段，將惡意網站推至 Google 搜尋結果前列，當用戶搜尋 AI 開發工具「Claude Code」時，被引導至偽造安裝頁面，觸發多階段攻擊鏈，目標包括竊取憑證、加密資產及獲取設備長期控制權。

攻擊階段細節

該攻擊最早於 2026 年 3 月被發現。首階段透過 Mach-O 遞送器釋放基於 osascript 的信息竊取程序，具備 AMOS、Banshee 等家族特徵，可竊取瀏覽器憑證、macOS 鑰匙串、Telegram 會話、VPN 配置及加密錢包數據，並針對 250+ 瀏覽器錢包插件及多款桌面錢包發起訪問嘗試。

第二階段為 C++ 後門程序，具備沙箱檢測與加密配置能力，透過系統級代理實現持久化，並透過 HTTP 輪詢方式接收指令，實現遠程控制。

Bybit 安全團隊的 AI 輔助分析

Bybit 表示，其 SOC 在本次事件中引入 AI 輔助分析，覆蓋從樣本分類、逆向工程到 IOC 提取與檢測規則生成的完整流程，將分析時間從數小時縮短至約 40 分鐘，並實現當日完成檢測與緩解措施部署，整體效率提升約 70%。

Bybit 集團風控與安全負責人 David Zong 表示，作為較早公開此類攻擊活動的交易所之一，認為披露相關發現有助於提升行業整體防禦能力。藉助 AI 輔助的 SOC，已實現從威脅檢測到完整攻擊鏈可視化在單一週期內完成。未來安全將進入『AI 對抗 AI』階段，利用 AI 防禦 AI 將成為趨勢。

其他攻擊手段與影響

調查還發現，攻擊者使用偽造的 macOS 密碼彈窗進行社工攻擊，緩存用戶憑證；部分情況下還嘗試將 Ledger Live、Trezor Suite 等官方錢包替換為木馬版本。本次攻擊覆蓋 Chromium 系瀏覽器、Firefox、Safari、Apple Notes 及本地敏感目錄。相關惡意域名與 C2 基礎設施已被處理並公開披露。