Криптобиржа Bybit, занимающая второе место в мире по объёму торгов, обнародовала детали многоэтапной вредоносной кампании, нацеленной на пользователей macOS, которые ищут инструмент для разработки на базе искусственного интеллекта Claude Code от компании Anthropic. Отчёт, опубликованный Центром операций безопасности (SOC) Bybit 21 апреля 2026 года, описывает кампанию, впервые обнаруженную в марте того же года. Это один из первых случаев, когда централизованная криптобиржа публично документирует активную угрозу, распространяемую через каналы поиска ИИ-инструментов.
Механизм атаки заключался в отравлении результатов поисковых систем (SEO poisoning). Злоумышленники продвигали вредоносный домен в топ выдачи Google по запросам, связанным с Claude Code. Пользователи перенаправлялись на поддельную страницу установки, стилизованную под официальную документацию Anthropic. Это запускало двухэтапную цепочку атаки, сфокусированную на хищении учётных данных, краже криптоактивов и получении постоянного доступа к системе.
Первоначальная полезная нагрузка, доставляемая через Mach-O дроппер, развёртывала инфостилер на основе osascript, поведение которого схоже с известными семействами вредоносных программ для macOS — AMOS и Banshee. Программа крала данные браузеров, записи из связки ключей macOS (Keychain), сессии Telegram, профили VPN и, что наиболее важно, информацию о криптокошельках. Исследователи Bybit зафиксировали попытки доступа к более чем 250 браузерным расширениям для кошельков и нескольким настольным приложениям для управления криптоактивами.
Второй этап включал в себя бэкдор на C++ с расширенными возможностями уклонения от обнаружения, включая детектирование песочницы и зашифрованные конфигурации. Вредоносное ПО обеспечивало себе постоянное присутствие в системе через системные агенты и позволяло удалённо выполнять команды через HTTP-опрос, предоставляя злоумышленникам долгосрочный контроль над заражёнными устройствами. В некоторых случаях атакующие пытались подменить легитимные приложения кошельков, такие как Ledger Live и Trezor Suite, на троянские версии.
Роль искусственного интеллекта в расследовании оказалась ключевой. SOC Bybit использовал ИИ-инструменты на всех этапах анализа. Первичная сортировка и классификация образца были выполнены за минуты. Обратный инжиниринг и анализ потока управления с помощью ИИ сократили время глубокого изучения бэкдора второго этапа с предполагаемых 6–8 часов до менее чем 40 минут. Автоматизированные конвейеры извлекали индикаторы компрометации (IOC). Генерация правил обнаружения с помощью ИИ позволила быстро создавать и валидировать сигнатуры угроз. По словам биржи, итоговые отчёты разведки угроз были подготовлены примерно на 70% быстрее, чем при использовании традиционных рабочих процессов.
«Как одна из первых криптобирж, публично документирующих подобную кампанию, мы считаем, что обмен этими данными критически важен для усиления коллективной обороны в индустрии», — заявил Дэвид Цзун, глава группы управления рисками и безопасности Bybit. Он отметил, что ИИ-ассистированный SOC позволил выполнить декомпиляцию, извлечение IOC, составление отчёта и написание правил в рамках одной сессии.
Инцидент отражает растущий тренд, когда злоумышленники целятся в разработчиков через манипулируемые результаты поиска, особенно на фоне роста популярности ИИ-инструментов. Разработчики остаются высокоценными целями из-за их доступа к кодовым базам, инфраструктуре и финансовым системам, включая криптоактивы.
