根據卡巴斯基(Kaspersky)於 17 日(當地時間)發布的最新報告,資安研究團隊警告,一套專門鎖定「加密貨幣投資人」與「웹3 開發者」的新型惡意程式框架「OkoBot」正快速擴散。這類攻擊透過社交工程、假冒開源專案與偽裝招聘等手法,竊取「加密貨幣錢包」檔案、「瀏覽器」登入資訊與「雲端服務」憑證,再進一步遠端控制受害者裝置,將鏈上與鏈下資產一併洗劫一空。
關鍵詞: *OkoBot*、*惡意程式*、*加密貨幣投資人*、*웹3 開發者*、*SSH 通道*
根據卡巴斯基的說明,「OkoBot」會透過 *ClickFix* 等「社交工程」誘騙手法,或是遭竄改的 *GitHub* 應用程式觸發感染流程。攻擊者通常會引導使用者自行輸入指令,或打開看似正常的安裝檔,讓惡意模組在背景靜默執行。卡巴斯基表示,自今年 1 月起,已在多起攻擊事件中發現同一系列家族的活動樣態,顯示這並非零星事件,而是持續運作的「有組織攻擊行動」。
在技術層面上,「OkoBot」會優先掃描與「加密貨幣錢包」相關的檔案,搭配攔截「瀏覽器」中儲存的帳密、Cookie 與自動登入資訊,並可注入惡意「瀏覽器擴充功能」,長期監控受害者的操作行為。卡巴斯基補充,該框架還具備擷取錢包應用視窗畫面、蒐集助記詞或私鑰提示資訊的能力,大幅提高資產被轉移的風險。研究人員指出,「OkoBot」是 2025 年首次被揭露的 *TookPS* 攻擊行動的進化版本,較以往假冒軟體官網的方式更具系統性與持久性。
*評論*:這類鎖定「錢包檔案 + 瀏覽器帳密 + 視窗截圖」的整合式攻擊,代表駭客不再單純等待受害者主動轉帳,而是試圖完整重建使用者的「數位身份」,進而長期控制多個服務與資產。
此次行動的另一個關鍵特徵,是攻擊者使用多達 20 個惡意「Payload」,並統一透過「SSH 通道」進行控制與資料回傳。藉由將受害電腦的流量繞送至攻擊者掌控的遠端設備,惡意行為在一般網路監控工具上更不易被偵測。資安業界分析指出,這種「多 Payload + SSH 隧道」的設計相當適合模組化複製,未來很可能演變為各駭客組織相互仿效的標準範本,讓同類型攻擊快速複製到不同地區與目標族群。
除了投資者端點設備受到威脅之外,블록체인 安全公司「慢霧科技(SlowMist)」近期也披露,攻擊者已開始在 *LinkedIn* 上假扮「웹3 招募人員」,專門鎖定「웹3 開發者」。依照慢霧科技的描述,駭客會以招聘名義主動接觸開發者,在建立信任後,要求對方於面試前先下載一個「技術測試專案」。對方提供的其實是被植入惡意程式的「GitHub 儲存庫」,開發者在完成「拉取程式碼、安裝依賴套件、執行專案」等看似正常的流程時,惡意模組已在系統中悄悄啟動。
在這種情境下,「OkoBot」或相關惡意程式會以「遠端存取木馬(RAT)」的形式運作,鎖定的目標不僅包括「專案金鑰」、「雲端平台登入憑證」,還會試圖讀取「瀏覽器錢包擴充套件」中的關鍵資料。慢霧科技強調,這並不是一次性的孤立事件,而是一種「將日常開發流程武器化」的長期趨勢,從「招聘」、「程式碼審查」到「專案協作」,任何常見的開發場景都有可能被駭客包裝為攻擊入口。近期他們也觀察到專門鎖定「macOS 使用者」的獨立惡意活動,顯示攻擊面已從一般投資者擴大到整個 개발 생태계。
*評論*:對開發者而言,「GitHub 專案」與「技術測試」本應是日常工作的一部分,如今卻成為最自然、也最難起疑的攻擊載具。如果缺乏「零信任」思維,很可能在毫無戒心的情況下將工作設備變成駭客的跳板。
隨著「加密貨幣市場」持續回暖、資金與新用戶不斷湧入,攻擊者也從單純掃描「錢包地址」與「合約漏洞」,轉向優先鎖定「人」,再藉由社交工程滲透到資產託管與開發流程的核心環節。從 *OkoBot* 到鏈上釣魚、假冒招聘再到惡意開源專案,攻擊方式愈發貼近日常行為模式,使得技術防線之外,「行為安全意識」正逐漸成為保護資產的關鍵變數。對投資人與開發者來說,驗證下載來源、分離工作與資產環境、以及對「看似正常的請求」保持懷疑,已成為在新一輪牛市中必備的生存技能。
關鍵詞總結:*OkoBot*、*TookPS 行動*、*加密貨幣錢包*、*SSH 通道*、*LinkedIn 假招聘*、*웹3 開發者攻擊*、*遠端存取木馬*
留言 0