一个新发现的iOS漏洞链“暗剑”(DarkSword)正被国家支持的行动者和商业供应商用于窃取敏感数据,特别是加密货币钱包和交易平台的数据。该漏洞影响数百万未打补丁的、运行特定iOS 18版本的iPhone,凸显了在移动设备上管理数字资产的投资者面临的重大安全风险。
谷歌威胁情报小组与安全公司iVerify和Lookout合作,识别出一个名为“暗剑”(DarkSword)的复杂iOS漏洞工具包,该工具包至少自2025年11月以来一直活跃。该漏洞链利用六个不同的漏洞——包括三个此前未知的零日漏洞——来授予攻击者完全的设备控制权。它针对运行iOS 18.4至18.7版本的特定苹果设备。安全分析师估计,此漏洞将多达2.215亿台设备(占所有iPhone用户的14.2%)暴露于数据盗窃风险中。
“暗剑”传递的主要载荷是一种名为“GHOSTBLADE”的恶意软件变种,其明确设计用于提取金融数据。该恶意软件系统地搜索并窃取各种流行加密货币应用程序中的信息。受攻击的交易平台包括Coinbase、Binance、Kraken和OKX,而MetaMask、Ledger、Trezor和Phantom等钱包也在其列。攻击以迅速的“打带跑”方式运作,在感染后几分钟内窃取凭证和其他敏感信息,然后清除自身痕迹。这种行为表明其具有明确的财务动机,优先考虑快速资产盗窃而非长期监控。
“暗剑”是继“Coruna”工具包之后,在一个月内发现的第二个针对iOS的大规模漏洞利用工具包。它被各种团体使用——从涉嫌俄罗斯国家支持的UNC6353针对乌克兰的攻击,到针对沙特阿拉伯和土耳其用户的商业监控供应商——这表明高端网络武器的扩散令人担忧。这些工具在二级市场上的可用性降低了资金充足但技术上不那么复杂的团体执行复杂攻击的门槛。这一趋势对移动生态系统构成了系统性风险,迫使投资者重新考虑通过移动优先平台管理资产的安全性。