Криптобиржа Bybit сообщила о многоэтапной вредоносной кампании против пользователей macOS, которые искали в интернете Claude Code — инструмент для разработки на базе ИИ от Anthropic. Об этом говорится в выводах центра мониторинга безопасности компании, опубликованных 21 апреля.
По данным Bybit, это один из первых публично описанных случаев, когда централизованная криптобиржа выявила и проанализировала активную угрозу, использующую каналы поиска ИИ-инструментов для атак на разработчиков.
Компания сообщила, что кампанию впервые обнаружили в марте 2026 года. Злоумышленники применяли SEO-отравление, чтобы поднять вредоносный домен в верхние результаты поиска Google. Пользователи, искавшие «Claude Code», попадали на поддельную страницу установки, внешне очень похожую на официальную документацию.
Вредоносная цепочка крала данные и данные кошельков
Анализ Bybit показал, что атака состояла из двух этапов. На первом этапе через дроппер Mach-O устанавливался стилер на базе osascript, обладавший признаками, похожими на известные варианты AMOS и Banshee.
Этот стилер использовал многофазную обфускацию для извлечения конфиденциальных данных, включая учетные данные браузеров, записи из macOS Keychain, сессии Telegram, профили VPN и информацию о криптовалютных кошельках. Исследователи Bybit зафиксировали попытки доступа более чем к 250 расширениям кошельков для браузеров, а также к нескольким настольным приложениям-кошелькам.
На втором этапе загружался бэкдор на C++, оснащенный продвинутыми методами уклонения от обнаружения, в том числе проверкой на песочницу и зашифрованной конфигурацией во время выполнения. Вредонос закреплялся в системе через системные агенты и позволял удаленно выполнять команды через HTTP-опрос, что давало атакующим постоянный контроль над зараженными устройствами.
В ходе расследования также были выявлены приемы социальной инженерии, в том числе поддельные запросы пароля macOS, которые использовались для проверки и сохранения учетных данных пользователей. В некоторых случаях злоумышленники пытались заменить легитимные приложения кошельков, такие как Ledger Live и Trezor Suite, на троянизированные версии, размещенные на вредоносной инфраструктуре.
Bybit ускорила анализ с помощью ИИ
Bybit заявила, что ее центр мониторинга безопасности использовал процессы с поддержкой ИИ на всем протяжении анализа вредоносного ПО, что заметно сократило время реагирования без потери глубины исследования. Первичная проверка и классификация образца Mach-O были завершены за считаные минуты, а ИИ-модели отметили поведенческое сходство с известными семействами malware.
По словам компании, обратная разработка с помощью ИИ и анализ потока управления сократили глубокую проверку бэкдора второго этапа с предполагаемых шести-восьми часов до менее чем 40 минут. Автоматизированные конвейеры извлекли индикаторы компрометации, включая инфраструктуру командных серверов, сигнатуры файлов и поведенческие шаблоны, после чего эти данные сопоставили с существующими фреймворками описания угроз.
Как отметила Bybit, это позволило развернуть меры обнаружения в тот же день. Генерация правил с помощью ИИ помогла создать сигнатуры угроз и правила для endpoint detection, которые затем проверили аналитики перед внедрением в рабочие среды. Компания также заявила, что черновики отчетов, созданные ИИ, сократили сроки подготовки материалов, благодаря чему итоговые продукты threat intelligence были готовы примерно на 70% быстрее, чем при традиционных процессах.
Руководитель группового управления рисками и безопасности Bybit Дэвид Цзунг заявил: «Как одна из первых криптобирж, публично задокументировавших этот тип вредоносной кампании, мы считаем, что публикация этих выводов имеет решающее значение для укрепления коллективной защиты всей отрасли. Наш SOC с поддержкой ИИ позволяет нам перейти от обнаружения к полной видимости всей цепочки атаки в рамках одного операционного окна. То, что раньше требовало команды аналитиков, работающих в несколько смен — декомпиляция, извлечение IOC, подготовка отчета, написание правил, — было выполнено за одну сессию, где ИИ взял на себя основную нагрузку, а наши аналитики обеспечили экспертную оценку и валидацию. Если смотреть в будущее, нас ждет война ИИ. Использование ИИ для защиты от ИИ — это неизбежный тренд. Bybit будет и дальше увеличивать инвестиции в ИИ для безопасности, добиваясь обнаружения угроз на уровне минут и автоматизированного интеллектуального экстренного реагирования».
По данным компании, вредоносное ПО было нацелено на широкий круг сред, включая браузеры на базе Chromium, варианты Firefox, данные Safari, Apple Notes и локальные каталоги файлов, которые часто используются для хранения финансовой информации или данных аутентификации.
Bybit также сообщила, что выявила несколько доменов и конечных точек командных серверов, связанных с этой кампанией; к моменту раскрытия информации они уже были обезврежены для публичной публикации. Анализ показал, что злоумышленники использовали периодический HTTP-опрос, а не постоянные соединения, что усложняло обнаружение.
Согласно Bybit, вредоносная инфраструктура, связанная с кампанией, была обнаружена 12 марта. Полный анализ, меры по снижению риска и внутренние механизмы обнаружения были завершены в тот же день. Публичное раскрытие состоялось 20 марта и сопровождалось подробными рекомендациями по обнаружению и устранению подобных угроз.
Источник: Finbold
