谷歌威胁情报部门已标记一种名为“Ghostblade”的新型加密货币窃取恶意软件,目标为苹果iOS设备。被描述为DarkSword家族的基于浏览器的工具之一,Ghostblade旨在以快速、隐秘的突发方式窃取私钥和其他敏感数据,而非在设备上持续、全天候运行。
Ghostblade由JavaScript编写,激活后从被感染设备收集数据,并将其传输到恶意服务器,然后关闭。研究人员指出,该恶意软件的设计使其更难被检测到,因为它不需要额外的插件,一旦完成数据提取便停止运行。谷歌的威胁情报团队强调,Ghostblade还会采取措施避免被检测,例如删除可能会提醒苹果遥测系统的崩溃报告。
除了私钥外,该恶意软件还能访问并传输iMessage、Telegram和WhatsApp的消息数据,还能窃取SIM卡信息、用户身份信息、多媒体文件、地理位置数据,以及访问各种系统设置。属于DarkSword框架的一部分,Google将其视为不断演变的威胁之一,展示攻击者如何不断完善工具以针对加密货币用户。
对于追踪威胁趋势的读者来说,Ghostblade与Google威胁情报描述的DarkSword iOS漏洞链中的其他组件一同出现。这一工具集是在加密威胁演变的更广泛背景下观察到的,包括针对iOS的利用套件在加密钓鱼攻击中的使用报告。
主要要点
Ghostblade是基于JavaScript的iOS加密货币窃取威胁,作为DarkSword生态系统的一部分,设计用于快速数据外泄。
该恶意软件运行时间短且非连续,降低了长期占据设备的可能性,也增加了检测难度。
它可以传输iMessage、Telegram和WhatsApp中的敏感数据,还能访问SIM信息、身份数据、多媒体、地理位置和系统设置,同时删除崩溃报告以规避检测。
这一发展反映了威胁环境的更大转变,即从单纯的软件漏洞攻击转向利用人类行为的社会工程和数据提取策略。
根据Nominis的数据,2026年2月的加密钓鱼损失大幅下降至4900万美元,而1月为3.85亿美元,显示攻击重点从代码漏洞转向钓鱼和钱包中毒等手段。
Ghostblade与DarkSword生态系统:已知情况
谷歌的研究人员将Ghostblade描述为DarkSword家族的一个组件——一套针对加密货币用户的基于浏览器的恶意软件工具,旨在窃取私钥及相关数据。Ghostblade的JavaScript核心允许快速与设备交互,同时保持轻量和短暂。这一设计选择与其他近期偏好快速数据外泄的设备威胁一致。
实际上,该恶意软件的能力不仅限于窃取密钥。通过访问iMessage、Telegram和WhatsApp等消息应用,攻击者可以拦截对话、凭证,甚至潜在的敏感附件。加入SIM卡信息和地理位置的访问,扩大了潜在攻击面,使得身份盗窃和欺诈场景更为全面。关键是,删除崩溃报告的能力进一步隐藏活动,增加受害者和防御者的取证难度。
作为DarkSword整体战略的一部分,Ghostblade凸显了设备端威胁情报的持续军备竞赛。谷歌威胁情报将DarkSword视为最新例证,展示恶意行为者如何不断优化针对iOS的攻击链,利用用户对设备和日常通信、金融应用的高度信任。
从代码攻击到人为因素利用
2026年2月的加密钓鱼形势显示出攻击者行为的显著转变。根据Nominis,2月的加密攻击总损失降至4900万美元,远低于1月的3.85亿美元。该公司将下降归因于从纯粹的代码漏洞转向利用人为错误的策略,包括钓鱼、钱包中毒攻击和其他社会工程手段,诱使用户无意中泄露密钥或凭证。
钓鱼仍是核心手段。攻击者创建假冒合法平台的钓鱼网站,URL模仿真实网站,诱导用户输入私钥、助记词或钱包密码。当用户在这些仿冒界面登录、批准交易或粘贴敏感信息时,攻击者即可直接获取资金和凭证。这一向人为目标的转变,要求交易所、钱包和用户在防御中加强用户教育,同时采取技术措施。
这一数据点符合行业整体趋势:虽然代码漏洞和零日漏洞仍在发展,但对加密资产的威胁中,越来越多来自利用人类行为的社会工程攻击——信任、紧迫感和熟悉界面——的风险。行业观察者应关注不仅是软件漏洞的修补,还应强化人类安全意识,通过教育、增强认证和更安全的钱包入门体验来降低风险。
对用户、钱包和开发者的启示
Ghostblade的出现,以及伴随的人为攻击趋势,带来多方面的实用启示。首先,设备安全至关重要。保持iOS系统更新,采取应用和浏览器的安全措施,使用硬件钱包或安全隔离区存储私钥,可以提升抵御快速外泄的能力。
其次,用户应对消息应用和网页保持高度警惕。设备端数据访问与钓鱼式欺骗结合,即使是看似无害的操作——打开链接、授权权限或粘贴助记词——也可能成为盗窃的入口。多因素认证、认证应用和生物识别保护有助于降低风险,但教育和对意外提示的怀疑同样重要。
对于开发者而言,Ghostblade强调了反钓鱼控制、密钥管理流程的安全性,以及对敏感操作的透明用户提示的重要性。同时,持续威胁情报共享也至关重要,特别是关于结合浏览器工具和移动操作系统特性的设备端威胁。跨行业合作对于在新型利用链广泛传播前及时检测至关重要。
未来关注点
随着谷歌威胁情报和其他研究机构持续追踪DarkSword相关活动,观察者应关注iOS漏洞链的最新动态,以及类似隐秘、短暂的恶意软件的出现。2月的转变表明,未来防御者不仅要加强技术防护,还需提升用户教育,以应对钓鱼和钱包中毒等新型攻击手法。读者应关注未来的威胁情报公告、安全厂商的新检测,以及主要平台如何调整反钓鱼和反欺诈措施以应对不断演变的攻击策略。
同时,密切关注威胁情报的后续报告——如谷歌威胁情报关于DarkSword及相关iOS漏洞的报道,以及Nominis和其他区块链安全研究者的持续分析,将是评估风险和优化防御的重要途径。
本文最初发表于Crypto Breaking News,标题为“Google Threat Intel Flags Ghostblade as Crypto-Stealing Malware”——您的加密新闻、比特币新闻和区块链动态的可信来源。
