btelemaque/dual-chain-crypto-drainer

双链窃取器 —— 威胁研究报告 2026 年 3 月 30 日 一项针对活跃的跨链加密货币钱包窃取活动的独立调查，该活动同时针对 Ethereum 和 Solana 上的 Ledger、Trezor、MetaMask 和 Phantom 钱包用户。该活动向超过 161,000 名受害者发送毫无价值的粉尘代币，以引诱他们访问伪造的 DeFi 领取网站，在此过程中，一种 ClickFix 社会工程技术会悄悄地将恶意的 PowerShell 载荷注入到受害者的剪贴板中。 完整分析涵盖了完整的五阶段攻击链、对已恢复的 C2 植入物及 117,000 行 JavaScript 窃取工具包的恶意软件逆向工程，以及一条 9 跳链上资金追踪溯源路径。该溯源路径将当前的攻击活动基础设施与受美国监管的交易所 Bittrex 和俄罗斯交易所 EXMO 上的已验证账户连接起来——这些账户于 2016 年开设，并与 2017 年被美国司法部 (US DOJ) 查封的网络犯罪交易所 BTC-e 有关联。已查明的非法收益：横跨 33 个区块链网络超过 620,000 美元。该活动已向 FBI IC3 举报（提交 ID：c0880f13e56d4432a89aea4b0f56425e）。

标签：BTC-e, C2基础设施, ClickFix, CMS安全, DAST, DeFi, ESC8, FBI IC3, IPv6, JavaScript, OpenCanary, PowerShell, Solana, 云资产清单, 以太坊, 俄罗斯黑客, 加密货币, 区块链安全, 后端开发, 威胁研究报告, 恶意软件分析, 搜索语句（dork）, 社会工程学, 网络信息收集, 网络威胁情报, 网络犯罪, 资金追踪, 跨链, 逆向工程, 钱包窃取, 链上分析