卡巴斯基根据周三的一份报告披露,发现了一种新的恶意软件框架,目标是加密货币投资者。该恶意软件被命名为 OkoBot,它会通过社交工程手段启动感染链,例如 ClickFix,以及植入木马的 GitHub 应用程序,这些应用程序在被投递到受感染设备后,会部署后门。卡巴斯基自 2026 年 1 月以来已识别出多起与该恶意软件家族相关的攻击。该恶意软件由 TookPS 演变而来,TookPS 是 2025 年首次识别的一个活动,通过假冒软件网站分发木马下载器。另据慢雾在周六报道,有一场恶意软件活动正在通过假冒的 LinkedIn 招聘机会瞄准 Web3 开发者,并通过伪装为技术面试材料的恶意 GitHub 仓库投递远程访问木马。
OkoBot 框架通过 SSH 隧道架构窃取钱包文件
卡巴斯基在报告中写道,OkoBot 恶意软件能够窃取加密货币钱包文件、浏览器数据和用户凭据,注入恶意扩展,并捕获钱包应用窗口以窃取资产。该框架通过一种 SSH 隧道来编排全部 20 个恶意载荷,从而有别于此前的活动。该隧道使数据能够从被感染的计算机远程传输到由攻击者控制的远端机器。卡巴斯基补充称,该恶意软件框架为“复制者”攻击打开了大门。
假冒 LinkedIn 招聘者通过 GitHub 仓库投递木马
据慢雾称,攻击者会通过 LinkedIn 联系区块链开发者,假扮为 Web3 招聘人员。他们向受害者发送假冒的 GitHub 仓库,声称这些仓库包含了面试之前需要先试用的最小可行产品。区块链安全公司在周六的一份报告中表示,该工作流程与正规的技术面试非常相似:开发者拉取代码、安装依赖并启动项目,因此难以察觉攻击。恶意软件旨在投递完整的远程访问木马,感染这些开发者的设备,使攻击者能够从他们那里窃取项目密钥、云端凭据或钱包扩展数据。
慢雾将攻击关联到更广泛的开发者定向活动
慢雾写道,该攻击并非孤立事件,并补充称,近期事故表明攻击者正越来越多地利用招聘、代码审查和项目协作等场景,诱骗开发者主动运行恶意仓库。该报告发布在慢雾警告另一场针对 macOS 用户的恶意软件活动的前一天:该活动旨在窃取他们的凭据并劫持他们的 Telegram 会话,最终再通过假网站诱骗投资者输入钱包恢复短语。
FAQ
OkoBot 恶意软件是什么,何时被识别?
OkoBot 是一个针对加密货币投资者的恶意软件框架,卡巴斯基在周三的一份报告中披露并发现了它。卡巴斯基自 2026 年 1 月以来已识别出多起与该恶意软件家族相关的攻击。该恶意软件通过社交工程手段启动感染链,例如 ClickFix 和被植入木马的 GitHub 应用程序。
假冒 LinkedIn 招聘活动如何瞄准 Web3 开发者?
据慢雾周六的报告称,攻击者会通过 LinkedIn 联系区块链开发者,假扮为 Web3 招聘人员。他们向受害者发送假冒的 GitHub 仓库,声称这些仓库包含了面试之前需要先试用的最小可行产品。该工作流程类似于正规的技术面试,从而使攻击难以被察觉。
OkoBot 恶意软件会从被感染设备窃取哪些数据?
据卡巴斯基称,OkoBot 恶意软件能够窃取加密货币钱包文件、浏览器数据和用户凭据,注入恶意扩展,并捕获钱包应用窗口以窃取资产。该框架通过 SSH 隧道编排全部 20 个恶意载荷,使数据能够从被感染计算机远程传输到攻击者控制的机器。