回到上一頁

駭客造假信譽鏈!跨平台加密貨幣大劫案

2026-06-23
全球網路犯罪手法正經歷一場驚人的「行銷式」進化。網路犯罪份子不再單純依賴傳統的惡意軟體散佈管道,而是精心策劃了一套遍佈全球的「虛假聲譽網路(Fake Reputation Network)」。透過操控 GitHub、SourceForge、YouTube 甚至是權威資安檢測平台 VirusTotal,駭客成功為一款跨平台的剪貼簿劫持惡意軟體(Clipboard Hijacker)披上合法、安全的外衣,大肆竊取受害者的加密貨幣。資安專家警告,這起由 Check Point Software 所揭露的大型攻擊行動,標誌著駭客已從技術入侵轉向深度的「信任操縱」,其威脅層級已跨越了一般的技術防線。
 

鎖定「想走捷徑」的投資客與賭徒

根據 Check Point 研究團隊發布的威脅情資報告《From Stars to Upvotes》,這場行動的主要目標並非大型企業基礎設施,而是精準鎖定那些在加密貨幣市場中尋求「捷徑與快速獲利」的散戶投資人、交易員以及線上博弈玩家。
 
這款基於 Rust 程式語言開發的惡意軟體,同時具備 Windows 與 macOS 版本。為了吸引受害者下載,駭客將其包裝成各種極具誘惑力的「外掛工具」,例如號稱能帶來自動化收益的加密貨幣狙擊機器人(Sniper Bots)、宣稱能精準預測加密貨幣崩盤遊戲結果的預測器(Crash-game predictors),以及各種聲稱能為交易帶來「不公平優勢」的解密工具。只要被害人因貪婪或好奇而下載這些所謂的「神器」,便會立刻落入駭客精心佈下的陷阱。
 

駭客的行銷魔法:多管道信譽造假網絡

這起攻擊事件中最令人毛骨悚然的,並非惡意軟體本身的技術有多麼高超,而是幕後黑手為了建立「信任感」所投入的龐大心力。這群駭客的行為模式,與其說是工程師,不如說更像是精通數位行銷的品牌公關。
 
整個惡意活動的樞紐,是一個以 WordPress 架設的釣魚網站。為了讓這個網站上的「工具」看起來廣受歡迎且安全無虞,駭客建立了一個被資安界稱為「幽靈網路(Ghost Networks)」的跨平台造假生態系:
  • 開源平台的數據灌水: 駭客在知名開源程式碼代管平台 GitHub 與開源軟體發布平台 SourceForge 上建立專案。接著,他們利用大量受控的假帳號進行交叉推廣,為這些惡意專案瘋狂刷「星星(Stars)」、建立分支(Forks)並灌水下載量。這些虛假的參與度指標,讓不知情的開發者或使用者誤以為這是一款備受社群肯定的熱門軟體。
  • AI 賦能的 YouTube 洗腦教學: 攻擊者在 YouTube 上建立專屬頻道,利用人工智慧(AI)生成的語音旁白來製作精美的「教學影片」,展示這些工具的「神奇功效」。同時,他們透過機器人刷出異常飆高的觀看次數,並在留言區留下大量極度正面、口徑一致的虛假評論,進一步強化工具的合法性錯覺。
  • 攻陷權威新聞媒體: 調查人員甚至發現,駭客利用合法的新聞媒體網站發布虛假新聞或廣編稿,大肆宣傳釣魚網站上的解密工具,並附上惡意下載連結。目前尚不清楚駭客是透過購買付費廣告版位(隨後被媒體發現惡意性質而下架),還是利用了專門在合法網站上提供欺詐性推廣的地下黑市服務。

 

攻破資安防線的最後一哩路:操控 VirusTotal

在這條造假產業鏈中,最令資安界擔憂的突破,是駭客成功對權威惡意軟體掃描平台 VirusTotal 進行了社群聲譽操縱。
 
VirusTotal 是全球資安人員與企業用來快速判定檔案安全性的重要指標。然而,在此次活動中,駭客操控帳號針對其惡意軟體樣本投下大量的「無害(Benign)」選票,並在評論區頻繁留下「安全(Safe)」、「乾淨(Clean)」等字眼。
 
Check Point 研究人員在報告中指出:「結合該惡意軟體原本就相對偏低的防毒引擎偵測率,這些虛假的正面評價創造了一種極具誤導性的『安全假象』。這不僅會欺騙一般終端使用者,更可能干擾依賴社群聲譽作為判斷依據的自動化安全偵測系統,導致它們將明顯惡意的檔案誤判為無害。」

 

致命載荷:無聲無息的加密貨幣大劫案

當受害者被這套完美的「信任偽裝」欺騙並下載軟體後,隱藏在其中的 Rust 剪貼簿劫持器(Clipper)便會悄悄啟動。
 
這個跨平台惡意軟體會在受害者的 Windows 或 macOS 設備上建立持久性(Persistence),確保每次開機都會在背景默默運行。它的唯一任務,就是無時無刻地監控系統的「剪貼簿」。
 
一旦惡意軟體偵測到剪貼簿中出現了符合加密貨幣錢包地址格式的字串,它就會在瞬間將該地址替換為駭客控制的錢包地址。由於加密貨幣錢包地址通常是一長串難以記憶的無意義亂碼,大多數使用者在進行轉帳交易時,都會習慣性地使用「複製貼上」功能,且鮮少會逐字核對。這使得受害者的資金(如比特幣 Bitcoin、以太幣 Ethereum、門羅幣 Monero、幣安鏈 Binance Chain 以及 Solana 等)在按下確認轉帳的那一刻,便直接匯入了駭客的口袋中,且加密貨幣的去中心化特性讓這筆資金幾乎無法追回。

 

資安典範轉移:防禦新型態的「信任戰」

Check Point 產品研發團隊負責人 Eli Smadja 接受《Dark Reading》專訪時表示,網路犯罪份子為了散佈此類惡意軟體而大費周章,確實極不尋常。過去鮮少看到攻擊者動用如此廣泛的線上聲譽資源來建立信任與可信度。
 
「這個手法的獨特之處在於,攻擊者結合了多個受信任的平台來建立信譽,甚至反過來操縱通常被資安研究人員用來防禦的 VirusTotal 平台。這讓真實的防護警報看起來像是誤判(False Positives),並加深了受害者的安全錯覺,」Smadja 解釋道。
 
這種攻擊模式展示了一種典範轉移:攻擊者不再僅僅依賴發送海量釣魚郵件或尋找系統漏洞等傳統手段。他們現在懂得如何操縱群眾外包的反饋機制與跨平台推薦演算法。雖然這個特定的活動並非針對大型企業,但它清楚地證明了,同樣的「虛假信譽行銷」劇本,未來極容易被用來將勒索軟體(Ransomware)或資訊竊取軟體(Info-stealers)散佈到高價值企業的內部網路中。

 

給企業與使用者的防禦建議

面對這種利用人性弱點與系統信任機制的複合型攻擊,企業防禦者必須重新調整對「線上聲譽」的看法。Check Point 呼籲資安團隊與一般使用者採取以下防護措施:
  • 對社群信譽保持零信任: 星星數、下載量、觀看次數與「安全」評論都可以被輕易購買或偽造。絕不能將「受歡迎程度」等同於「安全性指標」。應將社群回饋視為可能遭到對手操縱的潛在威脅訊號,而非最終的判決標準。
  • 強化終端防護與行為監控: 儘管散佈惡意軟體的網站本身可能並未包含惡意程式碼,但部署進階的端點防護解決方案(EDR/XDR)依然至關重要。企業應特別監控端點設備上的「剪貼簿劫持行為」,特別是那些頻繁與加密貨幣錢包格式互動的異常背景程序。
  • 提高員工資安意識: 企業應教育員工(尤其是擁有企業資源存取權限的用戶),對任何宣稱能提供「自動化獲利」、「預測工具」或「交易優勢」的加密貨幣相關捷徑保持高度懷疑。這類經典的詐騙誘餌,往往是致命資安危機的開端。
 
在這場新型態的數位攻防戰中,駭客已經學會了如何成為最優秀的「說謊家」。唯有打破對數據與平台光環的盲目迷信,才能在真假難辨的網路世界中守住資產與安全。

引用來源

  • 《Dark Reading》產業報導,記者 Elizabeth Montalbano 於 2026 年 6 月 23 日發布之文章《Crypto Heist Fueled by Elaborate Fake Reputation-Boosting Campaign》。
  • 網頁搜尋: Check Point Research 官方威脅情資報告《From Stars to Upvotes: The Fake Reputation Economy Behind a Crypto Clipboard Hijackers》,提供關於 Rust 跨平台惡意軟體、幽靈網路(Ghost Networks)與 VirusTotal 評價操縱之詳細調查數據。官方連結
  • 網頁搜尋: Check Point Research 每週威脅情報報告(2026 年 6 月 22 日),確認該起攻擊行動濫用 GitHub、YouTube 等平台散佈 Windows 及 macOS 版本惡意軟體之事實。官方連結
  • 網頁搜尋: Help Net Security 產業分析報導《Cybercriminals abused GitHub, YouTube and VirusTotal to push crypto-stealing malware》,佐證駭客利用假冒新聞稿於合法媒體平台進行推廣之手法。官方連結