破解 Bitwarden CLI 版本，基辅“黑色”催收者被逮捕及其他网络安全事件 - ForkLog：加密货币、人工智能、奇点、未来

# 破解版Bitwarden CLI版，基辅“黑色”催债团被逮捕及其他网络安全事件

我们整理了本周最重要的网络安全新闻。

• 朝鲜黑客用AI工具在三个月内窃取了价值$12 百万的加密货币。
• 前勒索谈判专家被揭露为帮凶。
• 英国情报：全球100个国家政府拥有商业间谍软件的访问权限。
• 开发者密码管理器Bitwarden引入信息样式器。

朝鲜黑客用AI工具在三个月内窃取了价值$12 百万的加密货币

三个月内，朝鲜黑客组织HexagonalRodent通过AI工具窃取了约$12 百万的加密货币，并感染了超过2000台Web3开发者的电脑，旨在窃取账户信息和访问加密钱包。网络安全专家Expel的马克斯·哈钦斯（Marcus Hutchins）报道。

此次攻击依赖于Vib编码法——通过文本请求神经网络生成恶意软件和基础设施：

• 利用Anima的AI网页设计工具，黑客创建虚假IT公司网站；
• 诱骗受害者提交虚假职位并要求完成“测试任务”，其中包含恶意代码；
• 所有代码和通信均由ChatGPT和Cursor生成，英文无误。

黑客代码片段。来源：Expel 专家分析了黑客的基础设施，发现他们不小心将其暴露在网络上。其提示词和受害者钱包数据库被泄露。哈钦斯指出，所写代码充满英文注释和表情符号——明显是由大型语言模型（LLM）完全生成的。

哈钦斯认为，到2026年，平壤在利用AI自动化每个网络攻击环节方面实现了质的飞跃，将低技能操作员转变为大规模的网络威胁。

HexagonalRodent的活动只是朝鲜自动化犯罪的全球战略的一部分，其他科技巨头的报告也证实了这一点：

• 微软表示，朝鲜操作员利用AI生成虚假文件，研究漏洞和社会工程学；
• Anthropic声称已阻止朝鲜特工利用Claude模型改进病毒。

WIRED的评论中，OpenAI、Cursor和Anima的代表确认了他们服务被滥用的事实。据他们所述，与黑客有关的账户已被封禁，调查将帮助理解如何防止类似事件。

前勒索谈判专家被揭露为帮凶

曾在网络安全公司DigitalMint与勒索者谈判的安杰洛·马蒂诺（Angelo Martino）承认协助网络犯罪分子。美国司法部报道。

马蒂诺承认，他在五起事件中“左右逢源”。他名义上为受害者工作，却向ALPHV/BlackCat的恶意软件操作者提供机密信息，还向黑客提供受害者保险单额度和谈判策略等数据。

调查显示，马蒂诺最大化犯罪集团的赔偿金，从中获得分成。

ALPHV/BlackCat集团采用CaaS模式，即创建和维护加密软件，合作伙伴利用其进行攻击并向开发者支付利润分成。

2023年，执法部门在暗网中查获黑客网站，并发布解密程序，帮助超过500名受害者恢复系统。

2025年，同一集团的其他员工——凯文·泰勒·马丁（Kevin Tyler Martin）和瑞安·克利福德·戈德伯格（Ryan Clifford Goldberg）也协助犯罪。他们仅在一次受害事件中就赚取了超过120万美元。

马蒂诺承认勒索罪，面临最高20年监禁。执法机关已扣押价值$10 百万的资产。

英国情报：全球100个国家政府拥有商业间谍软件的访问权限

据英国情报，超过一半的国家政府拥有能够入侵设备、窃取机密信息的软件。Politico报道。

媒体指出，此类监控技术的门槛已降低。潜在拥有此类入侵工具的国家数量也从2023年的80个增加到100个。

由NSO集团的Pegasus等公司开发的商业间谍软件，通常利用手机和电脑的漏洞。政府声称，这些工具仅用于针对涉嫌严重犯罪（包括恐怖主义）的目标。

英国情报指出，近年来“目标范围”已从政治批评者、反对派和记者扩大到银行家和富商。

美国ICE积极使用以色列的Graphite软件。代理机构代理人Todd Lyons向NPR确认了这一信息。

他说，执法部门利用此软件打击外国恐怖组织和使用加密通讯的芬太尼贩子。软件能在不点击链接的情况下访问手机消息(zero-click)。

开发者密码管理器Bitwarden引入信息样式器

2026年4月22日，官方npm包(CLI)版本为2026.4.0的Bitwarden密码管理器命令行界面被破坏。仓库中存在一版本含有恶意代码，用于窃取开发者的账户信息。

多家安全公司分析了感染链并对事件作出评价：

• JFrog专家发现，该包使用了自定义加载器bw_setup.js，偷偷启动间谍脚本。病毒收集npm和GitHub的令牌、SSH密钥，以及AWS、Azure和Google Cloud的访问权限；
• OX Security发现，窃取的加密数据通过自动创建受害者的GitHub公共仓库进行上传。仓库标记为Shai-Hulud: The Third Coming，病毒还能自我传播；
• Socket确认，病毒目标是CI/CD基础设施。他们还发现此事件与Checkmarx供应链近期被破坏有关。

攻击归因于TeamPCP黑客组织，此前曾对Trivy和LiteLLM项目的开发者发起大规模行动。专家强烈建议开发者立即更换所有密钥和令牌，特别是涉及受影响的CLI。

Bitwarden在攻击开始后仅一个半小时内迅速删除了被感染的版本，并确认用户存储和密码安全。

苹果修复了让FBI能读取已删除Signal消息的漏洞

苹果发布了修复补丁和安全建议，此前FBI在iOS上访问了Signal消息通知内容，尽管该应用已被删除。

我们非常高兴今天苹果发布了补丁和安全公告。此前@404mediaco报道，FBI在Signal应用被删除后，仍能通过iOS访问消息通知内容。

苹果的公告确认了导致此问题的漏洞……

— Signal (@signalapp) 2026年4月22日

Signal表示，安装更新后，所有无意中保存的通知将被删除，新通知不会再保存。

基辅逮捕用机器人发放虚假加密货币催债团伙

基辅警方逮捕了利用Bitcapital和Crypsee平台提供加密货币贷款的诈骗团伙。受害者及其亲属被用生成的侮辱性内容和6000张SIM卡的机器人发起骚扰，乌克兰网络警察报道。

据调查，团伙成员在第聂伯组织了呼叫中心，自2023年以来，以在英国和塞浦路斯注册的公司为掩护行动。

操作员打电话给债务人，利用假资料和变声软件，要求还款。若客户按时还款，犯罪分子会虚构不存在的债务。随后通过威胁和勒索索要钱财。

机器人被用来生成和传播侮辱性内容，利用受害者、其亲属和同事的资料和照片，还进行系统性电话骚扰。

来源：乌克兰网络警察。同时，可能有一组2-6人单独“作业”，采用不同策略，针对受害者的个人弱点。成功后，每人获得受害金额的百分比。

警方在第聂伯罗彼得罗夫斯克地区和基辅进行了44次搜查。查获80多部手机、电脑设备、现金、文件、印章和机器人。

初步估算，造成的损失超过500万格里夫纳(约$113 000，按当时汇率计算)。嫌疑人面临最高12年监禁。

同时在ForkLog报道：

• Tether应美国要求冻结了价值$344 百万的USDT。
• 英国展开打击非法P2P加密货币交易的行动。
• 网络安全专家警告来自朝鲜的新一轮黑客攻击。
• Bloomberg报道，未授权访问了AI模型Mythos。
• 黑客攻击Volo，从WBTC和USDC池中转出350万美元。
• 记者披露了通过霍尔木兹海峡勒索比特币的新方案。
• Arbitrum冻结了3万ETH，涉Kelp被盗案。
• Eth.limo在easyDNS被攻破后恢复了域名控制权。
• Kelp协议在跨链桥攻击中损失了$293 百万。

周末阅读推荐

长期以来，使用网络武器进行间谍活动被视为少数情报机构的专属。然而，美国当局对Operation Zero的调查揭示了零日漏洞交易的规模。

关于国家暗市场和黑客入侵成本的最新报道，详见ForkLog新文章。