← 返回资讯列表
CoinTelegraph Sat, 18 Jul 2026 11:40:48 中文版

卡巴斯基发现新型加密货币钓鱼木马框架:伪装成GitHub开发工具,精准围猎投资者

核心事件

近日,全球知名网络安全公司卡巴斯基实验室披露,其安全团队识别出一个高度定向的新型恶意软件框架,专门针对加密货币投资者发起攻击。该框架通过社交工程手段诱导用户下载被篡改的GitHub开源项目(如钱包工具、链上分析脚本或浏览器扩展),实际植入功能完备的后门程序,可窃取助记词、私钥、API密钥及剪贴板中的转账地址,实现‘一键清空’式盗币。事件虽未披露具体时间范围,但据卡巴斯基报告,相关样本自2024年第二季度起持续活跃,已覆盖Windows与macOS双平台,且攻击链具备自动化分发、动态C2通信与反沙箱检测能力。

背景解读

这一事件并非孤立的技术漏洞,而是加密生态信任结构脆弱性的集中暴露。当前开发者社区高度依赖GitHub等开放协作平台,大量用户习惯‘一键克隆+快速部署’,却缺乏对代码签名、提交历史与维护者可信度的交叉验证意识;同时,主流钱包普遍未强制启用硬件隔离或多因素签名确认机制,使得仅凭一次误点即可绕过所有安全层。更值得警惕的是,攻击者已从广撒网式勒索转向‘高净值目标画像’——通过Discord群组发言、Twitter技术讨论、甚至链上交互行为(如频繁使用MEV机器人或跨链桥)筛选潜在受害者,使攻击成功率大幅提升。

市场影响

短期看,该威胁将加剧市场避险情绪,尤其利空中小项目生态——因其开发者资源有限,GitHub仓库维护不规范、文档缺失、无审计背书等问题更为普遍,易成重灾区;部分用户可能暂缓参与新链测试网或DeFi实验性协议。中长期而言,它将倒逼基础设施升级:钱包厂商加速推进TEE(可信执行环境)集成与交易意图签名方案;开源社区或将建立类似‘Verified Maintainer’认证体系;监管层面也可能将‘第三方代码分发平台的安全责任’纳入数字资产服务提供商合规评估范畴。对普通投资者而言,最切实的防御不是拒绝使用工具,而是重建‘最小权限+二次确认’的操作本能——任何涉及私钥或签名的动作,都必须脱离自动化流程,回归人工复核。

编辑点评
我们认为,市场严重低估了此次卡巴斯基披露的恶意框架事件的战略级风险——它不是又一起‘普通黑客攻击’,而是加密世界信任基建崩塌的临界信号。本质上看,这揭示了一个被长期忽视的底层矛盾:Web3标榜的‘去中心化信任’,在现实落地中仍深度依赖中心化信任锚点(如GitHub、NPM、Chrome商店),而这些锚点早已成为攻击者的主战场。市场惯性将其归类为‘终端安全问题’,实则大错特错——真正溃败的是整个‘信任传递链’:从代码作者→代码托管平台→包管理器→用户本地执行环境→钱包签名层,任意一环失守即全盘瓦解。 技术维度上,该框架的颠覆性在于‘合法性掩护’:它不利用零日漏洞,而是滥用开发者信任惯性。攻击者精心复刻热门开源项目(如ethers.js插件、Solana CLI工具),提交看似合理的PR,再通过‘小版本号更新’诱导用户主动拉取。这种‘白帽行为模仿’让传统AV引擎完全失效,必须依赖行为建模与供应链图谱分析。监管维度则暴露灰色地带:GitHub作为代码托管方,是否应对高风险仓库(如含‘wallet’‘mnemonic’关键词)实施强制签名验证?目前答案是否定的,而SEC与FCA近期发布的《数字资产中介安全指引》均未覆盖此类‘间接责任’,形成巨大合规真空。 横向对比历史,2018年Parity多重签名钱包漏洞导致30万ETH冻结,属智能合约逻辑缺陷;2022年Axie Infinity Ronin桥被黑是私钥管理失当;而本次事件与2021年NPM恶意包‘coa’‘rc’系列更相似——但危害指数级升级:彼时仅窃取环境变量,本次直取助记词并劫持交易签名,完成从‘数据窃取’到‘资产劫持’的质变。操作上,散户务必做到三点:第一,永远禁用GitHub仓库的‘直接运行脚本’功能(如curl | bash),所有代码必须本地clone后逐行审查main.js与package.json;第二,钱包务必启用‘交易预览强制弹窗’并关闭剪贴板自动监听;第三,将常用链的RPC节点切换至自建或经验证的可信节点(避免使用浏览器插件默认的Infura公共端点,因其可被中间人劫持注入恶意响应)。真正的安全,从来不在链上,而在你点击‘允许’之前那三秒的清醒——这三秒,才是Web3时代最稀缺的算力资源。
阅读英文原文 → 查看英文版 →

在 Gate.io 实时跟踪相关行情

Gate.io(大门交易所)成立于2013年,支持3000+种加密货币,全球交易量前三。现货手续费低至0.02%,新人注册最高可领取10000U奖励礼包。