Ethereum 核心开发者 Zak Cole 近日遭遇网络钓鱼攻击,攻击者将链接伪装成播客节目邀请函。据 Zak 称,此次攻击利用虚假域名和恶意安装程序窃取了他电脑中的加密货币dent和数据。.
周一晚些时候,科尔在 X 论坛上发布了一个包含 21 条帖子的帖子,开头讲述了骗局是如何开始的:有人在 X 论坛上给他发了一条私信,邀请他“加入我们的播客!”
2月21日,
— zak.eth (@0xzak) 2025年9月15日
一切都始于一条推特私信,邀请我“加入我们的播客!”
攻击者(@0xMauriceWang)冒充 @theempirepod。我粗略浏览了一下,感觉挺靠谱的,所以就同意了。之后我收到了一封来自 [email protected] ,里面有个@StreamYard 的链接。邮件内容是…… pic.twitter.com/fEvazOVFs5
发件人使用社交平台上的用户名 @0xMauriceWang,冒充 Blockwork 的 Empire 播客的代表,随后又发送了一封电子邮件,Zak 说这封邮件看起来像是“一个合法的播客域名”。
网络钓鱼者试图“帮助”Zak安装恶意应用程序
据 Ether 核心开发人员称,该邮件中包含一个链接,显示的网址是 streamyard.com,但实际上指向的是 streamyard.org。Cole 点击该链接后,页面显示“加入错误”信息,并指示他下载桌面应用程序才能继续。.
在 Cole 在他的 X 线程上分享的截图中,他一开始因为公司的安全政策而拒绝安装,但攻击者恳求他“就这一次”安装,甚至还发送了一个视频教程来演示如何安装这个所谓的应用程序。.
“哥们儿,是StreamYard,他们有超过300万用户。我也有台公司配发的笔记本电脑,不过没关系。浏览器版几乎没法用,大概20次尝试才能连上一次。我估计他们保留浏览器版只是为了做市场推广,但实际上大家最终都用桌面应用。桌面应用稳定多了……”消息中写道。.
那时科尔发现“到处都有危险信号”,于是将软件包下载到受控的实验室机器上,而不是他的工作电脑上。.
在 DMG 文件中,他发现了一个名为“.Streamyard”的隐藏 Mach-O 二进制文件、一个 Bash 加载器和一个伪造的终端图标,该图标旨在诱骗用户将其拖动以获得系统级访问权限。.
他把这个加载器形容为“一连串的胡扯”,并解释了它是如何将base64片段拼接起来,用密钥解密,再对结果进行重新编码,最后执行的。每一步都是为了逃避杀毒软件的检测。.
“离线解码后,第二阶段是 AppleScript 脚本,它会找到已挂载的卷,将 .Streamyard 复制到 /tmp/.Streamyard,使用 xattr -c 和 chmod +x 移除隔离区,然后执行。悄无声息,精准无比,却又致命,”开发者一边解释,一边记下了这行代码。.
科尔补充说,如果受害者禁用了 macOS Gatekeeper 或中了钓鱼终端拖拽的圈套, 恶意软件 就会悄无声息地窃取所有内容,包括密码、加密钱包、电子邮件、消息和照片。
与攻击者的对话揭示了其雇佣的恶意软件服务
科尔没有叫停这场骗局,而是请求骗子帮忙,并与骗子进行了实时通话。骗子看起来很紧张,一边照着稿子念,一边试图指导科尔完成虚假的安装过程。.
在视频通话过程中,以太坊程序员开始共享屏幕,滚动浏览一个包含金正恩露骨视频的文件夹,以扰乱攻击者的平衡。.
当他追问为什么骗局行不通时,骗子承认他并非国家支持的行动成员,而是活跃于一个黑客社区,该社区每月花费约 3000 美元租用了一套钓鱼工具包。.
科尔指出,攻击者使用诸如“伙计”之类的俚语来欺骗受害者,让他们误以为他身处英国或美国附近。攻击者还透露,他并不直接控制基础设施,也无法管理有效载荷域名,他使用的是“低成本网络犯罪即服务”。
14/21
— zak.eth (@0xzak) 2025年9月15日
关键是他们使用了 https://t.co/3gJrz4EVIl 进行流量传输(load.*.php?call=stream 端点),并使用 https://t.co/NqE3HGJVms (@streamyardapp) 作为诱饵,这两个链接现在都已被封禁(感谢 @_SEAL_Org)。 pic.twitter.com/B0zbCmxzpj
根据众包安全情报公司 VirusTotal 的调查结果,攻击者使用的传播基础设施是 lefenari.com(通过脚本端点托管有效载荷)和 streamyard.org(用作诱饵)。在网络安全公司 Security Alliance 的协助下,这两个域名目前均已被禁用。.
