一個新發現的iOS漏洞鏈「暗劍」(DarkSword)正被國家支持的行動者和商業供應商用於竊取敏感數據,特別是加密貨幣錢包和交易平台的數據。該漏洞影響數百萬未打補丁的、運行特定iOS 18版本的iPhone,凸顯了在行動裝置上管理數位資產的投資者面臨的重大安全風險。
谷歌威脅情報小組與安全公司iVerify和Lookout合作,識別出一個名為「暗劍」(DarkSword)的複雜iOS漏洞工具包,該工具包至少自2025年11月以來一直活躍。該漏洞鏈利用六個不同的漏洞——包括三個此前未知的零日漏洞——來授予攻擊者完全的設備控制權。它針對運行iOS 18.4至18.7版本的特定蘋果設備。安全分析師估計,此漏洞將多達2.215億台設備(佔所有iPhone用戶的14.2%)暴露於數據盜竊風險中。
「暗劍」傳遞的主要載荷是一種名為「GHOSTBLADE」的惡意軟體變種,其明確設計用於提取金融數據。該惡意軟體系統地搜尋並竊取各種流行加密貨幣應用程式中的資訊。受攻擊的交易平台包括Coinbase、Binance、Kraken和OKX,而MetaMask、Ledger、Trezor和Phantom等錢包也在其列。攻擊以迅速的「打帶跑」方式運作,在感染後幾分鐘內竊取憑證和其他敏感資訊,然後清除自身痕跡。這種行為表明其具有明確的財務動機,優先考慮快速資產盜竊而非長期監控。
「暗劍」是繼「Coruna」工具包之後,在一個月內發現的第二個針對iOS的大規模漏洞利用工具包。它被各種團體使用——從涉嫌俄羅斯國家支持的UNC6353針對烏克蘭的攻擊,到針對沙特阿拉伯和土耳其用戶的商業監控供應商——這表明高端網路武器的擴散令人擔憂。這些工具在二級市場上的可用性降低了資金充足但技術上不那麼複雜的團體執行複雜攻擊的門檻。這一趨勢對行動生態系統構成了系統性風險,迫使投資者重新考慮通過行動優先平台管理資產的安全性。
