近年来,随着区块链和Web3技术的快速发展,其安全问题也日益受到关注。2025年6月,安全厂商Huntress揭露了一起由朝鲜高级持续威胁组织TA444实施的针对Web3领域的复杂入侵事件,代号“Feeling Blue(Noroff)”。该事件不仅揭示了该APT组织深厚的技术实力,也暴露出Web3生态系统在安全防护上的诸多薄弱环节。本文将全面解析这次入侵的全过程,帮助读者理解攻击手法的独特性及应对这种威胁的必要性。 认为macOS因其较小的用户基数而不易遭受攻击的观念已被彻底颠覆。此次事件中,攻击者精准利用macOS特有的脚本语言AppleScript,以及多种针对macOS构建的恶意二进制文件,展示了他们对平台深刻的理解与掌控。
初始入侵起点十分隐蔽,一位加密货币基金会员工通过Telegram收到攻击者伪装的会议邀请链接。该链接实际跳转至攻击者控制的伪造Zoom网站,诱导用户下载恶意的Zoom扩展,植入AppleScript脚本,成为整个攻击链的开端。 AppleScript被设计用来先打开真实Zoom SDK网页以掩人耳目,随后通过在脚本中嵌入逾万行空白代码,隐蔽地下载后续恶意有效负载。该脚本还检查受害者是否安装Rosetta 2(macOS架构转换工具),若未安装则自动静默部署,以确保后续利用x86架构二进制文件顺利执行。攻击者甚至设计循环验证密码输入,确保拥有sudo权限的能力,使得在系统上能获得更高权限,顺利进行隐蔽操作和数据窃取。 在技术层面,研究团队共恢复出八种恶意二进制文件,这些文件类别涵盖持久化机制、远程后门、二进制加载器、键盘记录器、屏幕捕获工具,以及专门针对加密货币钱包信息的窃取模块。
持久化组件“Telegram 2”采用Nim语言编写,以launchd的方式植入系统,确保恶意程序开机自启并定时运行。同时,“Root Troy V4”作为功能丰富的Go语言后门,负责下载、加载其他恶意模块,并具备多种远程代码执行手段,如执行AppleScript、shell命令等。 值得关注的是,攻击者巧妙地利用了macOS的进程注入技术,这在macOS平台上相对罕见。通过特定系统调试权限,恶意程序能注入复杂负载至目标进程,绕过系统内存保护,实现有效载荷隐藏和长期潜伏。该注入方式支持Fat Mach-O(二进制同时包含ARM与x86_64代码)且能针对不同架构进行适配,显示出高超的跨平台攻击能力。 针对信息窃取,攻击中部署了名为“XScreen”的恶意程序,它通过Apple的Core Graphics框架实现键盘记录、屏幕截图及剪贴板监听。
该模块会持续捕获用户输入,记录前台激活程序,用以判断用户交互上下文,进一步精准窃密。在隐私安全方面,这构成了极大的威胁,尤其在加密货币环境下,用户的私钥和交易密码极易被窃取。此外,“CryptoBot”是一个专门针对加密钱包的窃取工具,能识别并提取各类主流钱包浏览器插件的数据,如MetaMask、Phantom、Keplr等。这反映出攻击目标明确聚焦于Web3资产。 在通信方面,恶意程序与多个C2服务器保持联系,地址分布在多个不同域名和服务器中,如metamask.awaitingfor.site、productnews.online等。所有数据传输均采用加密方式,部分还带有反取证能力,例如覆盖存储区文件以销毁痕迹。
攻击链末端,还会主动清理shell历史日志,防止被普通审计工具发现。 从社会工程角度分析,该APT组织通过Telegram的精准钓鱼消息、伪装成合法的会议邀请、利用虚假的深度伪造领导人视频及语音,成功骗取员工信任。这类社交工程方法针对远程办公场景精心设计,极具迷惑性。同时,伪造的域名多采用新兴且不常见的顶级域名,例如.biz、.site等,提示组织需要提升员工对这类异常链接的识别力。 对于企业来说,面对日益兴盛的Web3攻击风险,强化macOS的安全防护变得尤为关键。除了部署专业的EDR(端点检测与响应)解决方案外,组织应积极开展针对远程会议软件相关的安全培训,提升员工识别钓鱼、恶意扩展及异常会议行为的能力。
监控异常进程行为、对关键API调用进行审计,亦是减少此类攻击成功机会的重要手段。此外,针对加密资产管理的安全策略也应得到重视,确保密钥管理及访问控制做到最优。 纵观此次“Feeling Blue”事件,TA444展现了卓越的技术水平与目标持续性。他们针对macOS系统定制攻击工具,配合社会工程手段,实现对高价值Web3资产的有效渗透。未来,随着区块链行业的不断扩张及价值集中,类似的针对性攻击只会增多。安全从业者需不断跟踪APT组织的动向,结合最新安全技术与意识培训,构筑多层防护堡垒,最大限度保障组织与用户的资产安全。
总体而言,“Feeling Blue(Noroff)”事件加深了业界对macOS平台安全威胁的认识,也提醒我们不能掉以轻心。只有通过技术和管理的双重手段,强化攻防能力,方能在高度数字化的时代背景下,守护Web3产业的健康发展。
![The Ancient Mexican Temple Built to honour a Serpent God [video]](/images/F3CE92F2-9AF9-4E08-9E27-37D969AD9D8F)
