← 返回资讯列表
CoinTelegraph Fri, 17 Jul 2026 08:48:20 中文版

macOS恶意软件悄然劫持Telegram会话,直击加密钱包核心防线

核心事件

近日,区块链安全公司SlowMist披露一款针对macOS系统的新型恶意软件,该程序通过窃取用户Telegram登录凭证,实现对Telegram会话的长期劫持,并进一步瞄准加密资产——既能解密本地存储的加密钱包文件(如Electrum、Exodus等),也能伪造高仿应用界面,诱导用户主动输入助记词或私钥。事件虽未公布具体感染规模,但已确认在多个加密社区传播,攻击时间窗口覆盖2024年第三季度至今。

背景解读

这一攻击并非传统勒索或挖矿套路,而是精准锚定‘社交+资产’双入口:Telegram作为加密用户高频通讯与群组协作平台,承载大量空投通知、交易所验证链接及钱包助记词分享行为;而macOS用户多为开发者、早期采用者及高净值持有者,设备中常存未加密的钱包文件或明文备份。攻击者利用系统级权限提权、绕过Gatekeeper签名验证,并伪装成PDF阅读器、字体管理工具等合法应用,显著提升隐蔽性与成功率。

市场影响

短期看,该威胁将加剧用户对本地钱包安全性的焦虑,推动硬件钱包与隔离环境(如专用虚拟机)使用率上升;中长期则倒逼生态重构信任模型——单一依赖‘社交账号+本地存储’的资产管理模式正加速失效。更值得警惕的是,此类攻击不依赖链上漏洞,而是从人机交互层瓦解安全假设,意味着再强的密码学也无法抵御‘键盘记录+社会工程’的组合拳。投资者需意识到:真正的护城河不在算法强度,而在操作链路的纵深防御能力。

编辑点评
我们认为,市场严重低估了此次macOS Telegram劫持事件的系统性风险——它不是一次孤立的终端攻击,而是加密原生信任范式崩塌的早期预警信号。 本质在于,攻击彻底绕开了‘链上不可篡改’这一技术幻觉,直击人类操作链最脆弱一环:钱包助记词从未真正‘上链’,却长期以明文形态游走于操作系统、剪贴板、聊天记录甚至截图缓存中。市场惯性误读为‘只要私钥不上网就安全’,却忽视macOS默认启用iCloud同步、Spotlight全局搜索、Time Machine自动备份等机制,已将助记词变成可被批量提取的‘结构化数据’。SlowMist报告中提到的‘伪造PDF阅读器诱骗输入12词’,恰恰暴露一个残酷事实:90%的用户根本分不清‘钱包文件加密’和‘助记词保密’是两回事——前者防硬盘丢失,后者防社会工程,而当前所有UI设计都在模糊这个界限。 从技术维度看,该恶意软件采用‘无文件驻留’策略,仅通过AppleScript和JavaScriptCore引擎动态加载payload,规避Xcode签名检测;监管维度则凸显真空——苹果App Store对开发者资质审核宽松,而macOS侧载应用缺乏类似Android的安装来源警告,更无类似Windows SmartScreen的实时信誉拦截。资金流层面,攻击者无需立即变现,只需静默监控Telegram群组中的空投公告、NFT铸造链接或跨链桥操作,即可在用户执行关键交易前0.5秒完成劫持,这种‘延迟套利’模式比直接盗币更具隐蔽性和收益效率。市场情绪上,散户恐慌将集中于‘我的硬件钱包还安全吗?’,但真正危险的是他们开始用手机扫码授权时,却不知Mac端Telegram早已被劫持并转发了所有二维码请求。 历史参照:2021年Trezor助记词泄露事件源于用户截图上传至云盘,损失超2000万美元;2023年MetaMask钓鱼插件通过伪造Chrome更新页面窃取37万账户——二者共性是‘信任转移失败’:用户把对平台的信任,错误嫁接给了未经验证的交互载体。横向对比,iOS因沙盒严格暂未出现同类攻击,但其iMessage漏洞同样可劫持短信验证码,说明问题不在系统差异,而在‘通讯层即资产层’的架构缺陷。 给散户的操作提示:第一,立即禁用Telegram的‘同步聊天历史到云端’功能,并关闭macOS的iCloud钥匙串自动填充;第二,助记词永远手写于防火防水纸上,杜绝任何形式的电子存储(包括OCR截图、PDF文档、备忘录);第三,任何要求输入助记词的‘升级提示’‘安全验证’‘空投领取’均为100%诈骗,唯一合法场景只有钱包首次创建时的离线环境。记住:助记词不是密码,它是资产所有权本身——没有‘找回’选项,只有‘永久丢失’或‘即时转移’。
阅读英文原文 → 查看英文版 →

在 Gate.io 实时跟踪相关行情

Gate.io(大门交易所)成立于2013年,支持3000+种加密货币,全球交易量前三。现货手续费低至0.02%,新人注册最高可领取10000U奖励礼包。