News (CN)

GitHub上恶意代码曝光助长针对苹果旧版本系统的攻击

作者 Maria • 2026年3月24日 • 1 min de leitura

WhatsApp Twitter Facebook 在Google上关注 E-mail

照片: Iphone atualização - Dontree_M/ Shutterstock.com

在源代码托管平台上公开发布的 DarkSword 漏洞利用工具的高级版本引起了数字安全社区的警惕。泄露的文件主要由标记语言和标准网页脚本组成，可以快速构建针对北美制造商运行早期版本操作系统的移动设备的攻击。获取这种材料的便利性大大降低了破坏过时设备所需的技术障碍。

该漏洞利用链结合了多个安全漏洞来入侵设备，而无需受害者进行复杂的交互。该攻击架构旨在利用网页渲染引擎和软件其他结构组件中的漏洞，确保对设备内存中存储的数据进行深度访问。

Apple — 苹果 – Kittyfly / Shutterstock.com

对暴露文件的技术分析揭示了恶意操作的具体特征：

– 托管文件所需的网络基础设施很少，并且可以在几分钟内完成设置。

– 浏览受感染网站时，代码会在后台静默执行。

– 主要关注的是最近没有收到紧急修复包的设备。

– 该工具能够适应不同的数字发行载体。

这种材料的传播使黑客资源的获取变得民主化，而这些资源以前仅限于高度专业化的数字间谍组织。该出版物消除了普通犯罪分子的研究和开发阶段，提供了一种可与分发欺诈链接和拦截公共网络流量的活动相结合的产品。

探索操作机制

泄漏的结构组件有助于资源有限的参与者立即重用。 HTML 和 JavaScript 文件的性质消除了复杂编译或深入了解 iOS 和 iPadOS 内部架构的需要。这种操作简单性使该工具成为一个易于使用的实用程序，用于创建数字陷阱。

黑客链依赖于欺骗浏览器防御机制的脚本的顺序执行。一旦用户访问被操纵的页面，代码就会识别系统版本并传递相应的恶意负载，启动权限提升过程，而不会在设备屏幕上发出任何视觉警报。

系统中的漏洞被利用

该工具集使用六个不同的漏洞来实现内核级别（操作系统最深且权限最高的层）的代码执行。在软件工程团队能够绘制和开发适当的修复程序之前，其中三个缺陷在相当长的一段时间内作为零日漏洞运行。

内核访问允许恶意代码绕过应用程序隔离限制，称为沙箱。随着这一障碍的打破，该工具将获得不受限制的权限来读取、修改或提取移动设备物理存储中存在的任何文件。

之前使用同一工具的私人版本的活动主要针对战略性网站妥协策略。该技术包括感染来自特定目标受众的高流量合法页面，等待受害者有机地访问门户以进行静默感染。

有害软件家族和信息提取

入侵的最后阶段以部署高度专业化的情报收集有效载荷而告终。被标识为 GHOSTBLADE、GHOSTKNIFE 和 GHOSTSABER 的有害软件系列通常与此攻击向量相关。这些变体中的每一个都有特定的模块来扫描系统以搜索具有高财务和战略价值的信息。

数据提取涵盖广泛的敏感用户信息。脚本被编程为定位和传输银行访问凭证、加密消息历史记录、地理位置数据和多因素身份验证令牌。特别关注识别和窃取与设备上安装的加密货币钱包相关的私钥。

除了收集财务数据外，该工具还对设备进行取证扫描。这包括从照片、电话通话记录和完整的互联网浏览历史记录中复制元数据，将这些信息打包到隐藏文件中，然后再传输到位于海外的命令和控制服务器。

为了使事件响应团队难以检测，漏洞利用链采用了严格的感染后清理程序。成功传输被盗数据后，流氓软件会擦除其自身的易失性内存和系统日志痕迹，使设备恢复到看似正常的操作状态。

具有硬件限制的设备的风险

由于处理和内存限制，全球用户群中的很大一部分仍然使用不支持最新操作系统版本的设备。代码的公开暴露会成倍增加这些设备的风险，因为它们很容易成为自动大规模感染活动的目标。

制造商维持着延长的支持周期，为前几代硬件提供重要的安全包，例如对系统第 15 条和第 16 条线的更新。然而，这种缓解策略的有效性完全取决于所有者在官方服务器上提供修复程序后立即寻找、下载和安装修复程序的主动性。

软件安全和屏蔽程序

防止利用 Web 渲染引擎中的缺陷的主要防线是严格维护操作系统的更新时间表。网络安全专家强调，安装最新补丁可以将攻击面减少到残余水平，从而消除泄露脚本的有效性。对于在高风险环境中航行或处理敏感公司信息的用户，强烈建议激活操作系统的最大保护功能。此设置严重限制复杂 Web 技术的功能，阻止浏览器中某些脚本的编译，并禁用通常充当静默入侵网关的连接功能。此外，采用数字卫生实践，例如拒绝点击来自未知发件人的链接以及仅在安全网络上浏览，可以补充软件更新所建立的技术障碍。