Bybit 揭露假 Claude Code 網站惡意軟體攻擊 macOS 用戶

攻擊事件概述

Bybit 安全部門發現一場針對搜索「Claude Code」的 macOS 用戶的惡意軟體攻擊活動。攻擊者利用 SEO 投毒手段，將受害者從 Google 搜尋結果引導至偽造安裝頁面，以此觸發多階段攻擊鏈，目標包括竊取憑證、加密資產及獲取設備長期控制權。

攻擊技術細節

該攻擊最早於 2026 年 3 月被發現。首階段透過 Mach-O 遞送器釋放基於 osascript 的信息竊取程序，具備 AMOS、Banshee 等家族特徵，可竊取瀏覽器憑證、macOS 鑰匙串、Telegram 會話、VPN 配置及加密錢包數據，並針對 250+ 瀏覽器錢包插件及多款桌面錢包發起訪問嘗試。

第二階段為 C++ 後門程序，具備沙箱檢測與加密配置能力，透過系統級代理實現持久化，並透過 HTTP 輪詢方式接收指令，實現遠程控制。調查還發現，攻擊者使用偽造的 macOS 密碼彈窗進行社工攻擊，緩存用戶憑證；部分情況下還嘗試將 Ledger Live、Trezor Suite 等官方錢包替換為木馬版本。

Bybit 安全團隊的 AI 輔助分析

Bybit 表示，其 SOC 在本次事件中引入 AI 輔助分析，覆蓋從樣本分類、逆向工程到 IOC 提取與檢測規則生成的完整流程，將分析時間從數小時縮短至約 40 分鐘，並實現當日完成檢測與緩解措施部署，整體效率提升約 70%。

Bybit 集團風控與安全負責人 David Zong 表示，作為較早公開此類攻擊活動的交易所之一，披露相關發現有助於提升行業整體防禦能力。藉助 AI 輔助的 SOC，Bybit 已實現從威脅檢測到完整攻擊鏈可視化在單一週期內完成。未來安全將進入『AI 對抗 AI』階段，利用 AI 防禦 AI 將成為趨勢。

防護措施與建議

Bybit 指出，隨著 AI 工具普及，攻擊者正透過搜尋結果操縱 targeting 開發者群體。由於開發者掌握代碼、基礎設施及資金權限，已成為高價值攻擊目標。Bybit 於 3 月 12 日確認惡意基礎設施，並在同日完成分析、檢測與緩解措施，3 月 20 日對外披露並發布詳細防護指引。相關惡意域名與 C2 基礎設施已被處理並公開披露。