卡巴斯基在周三的一份报告中发现了一个新的恶意软件框架,该框架瞄准加密货币投资者。据称该恶意软件被命名为 OkoBot,它通过 ClickFix 等社交工程手段启动感染链:ClickFix 会诱骗用户运行恶意命令,或投毒后的 GitHub 应用程序向被感染设备投送后门。卡巴斯基自 1 月 2026 起已识别出多起涉及该恶意软件家族的攻击。该恶意软件能够窃取加密货币钱包文件、浏览器数据和用户凭据,注入恶意扩展,并捕获钱包应用窗口以窃取资产。该恶意软件框架由 TookPS 演进而来;TookPS 是 2025 年首次识别的恶意软件活动,通过假冒软件网站分发木马下载器。
OkoBot 框架通过 SSH 隧道架构运行
OkoBot 与此前活动的不同之处在于,它通过一条 SSH 隧道编排全部 20 个恶意有效载荷,从而实现将受感染计算机中的数据远程传输到由攻击者控制的远程机器。卡巴斯基补充称,该框架为仿冒攻击打开了大门。
![Original OkoBot infection chain. Source: Kaspersky]()
冒充 LinkedIn 招聘活动,借助恶意 GitHub 仓库瞄准 Web3 开发者
据慢雾称,另一项恶意软件活动试图通过假冒的 LinkedIn 招聘机会渗透 Web3 开发者的设备。慢雾在周六的一份报告中表示,攻击者会通过 LinkedIn 联系区块链开发者,假扮为 Web3 招聘人员,随后向受害者发送伪造的 GitHub 仓库,声称其中包含在面试前需要先尝试的最小可行产品。
慢雾指出,该工作流程与真实的技术面试非常相似:开发者拉取代码、安装依赖并启动项目,因此很难察觉到攻击。该恶意软件旨在投送一套完整的远程访问木马,感染这些开发者的设备,使攻击者能够从他们那里窃取项目密钥、云凭据或钱包扩展数据。
慢雾写道,这次攻击并非孤立事件,并补充称,近期事件表明攻击者正越来越多地利用招聘、代码审查和项目协作等场景,诱骗开发者主动运行恶意仓库。该报告发布在慢雾警告另一项针对 macOS 用户的恶意软件活动一天之后。该活动旨在窃取他们的凭据,并劫持其 Telegram 会话,最终通过假网站诱骗投资者输入他们的钱包恢复短语。
FAQ
OkoBot 恶意软件是什么,何时被发现?
OkoBot 是一个针对加密货币投资者的恶意软件框架,卡巴斯基在周三的报告中发现了它。卡巴斯基自 1 月 2026 起已识别出多起涉及该恶意软件家族的攻击。该恶意软件通过 ClickFix 等社交工程手段或投毒后的 GitHub 应用程序发起感染,并可窃取加密货币钱包文件、浏览器数据、用户凭据,注入恶意扩展以及捕获钱包应用窗口。
假冒的 LinkedIn 招聘活动如何瞄准 Web3 开发者?
据慢雾的周六报告称,攻击者会通过 LinkedIn 联系区块链开发者,假扮为 Web3 招聘人员。他们会向受害者发送伪造的 GitHub 仓库,声称其中包含在面试前需要先尝试的最小可行产品。该工作流程类似于真实的技术面试:开发者拉取代码、安装依赖并启动项目,使攻击难以察觉。该恶意软件会投送远程访问木马,窃取项目密钥、云凭据或钱包扩展数据。