Google Threat Intelligence varnar för Ghostblade, iOS-mjukvara som stjäl kryptovaluta
Google Threat Intelligence säger att man hittat ”Ghostblade”, skadlig JavaScript-baserad kod som stjäl kryptovalutor och som riktar sig mot iOS-användare. Rapporten från mars 2025 beskriver att Ghostblade kan köras via iOS-webbläsning och använder social ingenjörskonst och fördunkling för att kringgå app‑store‑liknande kontroller.
Efter infektion försöker Ghostblade få åtkomst till enhetsbehörigheter och samlar sedan in högt värderade mål: plånboksseedfraser/privata nycklar, autentiseringscookies från börser, SMS- eller autentiserar‑baserade 2FA‑koder samt webbläsardata som sparade lösenord och webbhistorik. Den kommunicerar med kommandon‑och‑kontrollservrar via krypterade kanaler, med möjlig fördröjd exfiltrering och fjärruppdateringar för att utöka kontrollen.
Google och CrowdStrike observerade verkliga infektionsexempel. Sannolika inträdesvektorer inkluderar komprometterade annonsnätverk, nätfiskesidor som utger sig för kryptotjänster och skadliga omdirigeringar i sökresultat. Hotet sträcker sig också bortom kryptostölder genom att samla SIM‑relaterad data, identitetshandlingar, kontakter och positionshistorik—möjliggörande SIM‑swappar och uppföljande nätfiske och identitetsbedrägeri.
För handlare är denna Ghostblade‑uppdatering främst en fråga om plånboks‑ och kontorisk snarare än en grundläggande marknadsfaktor. Den ökar risken för stöld av inloggningsuppgifter och bedrägerier på börskonton, vilket kortsiktigt kan skada förtroendet.
Separat noterade en rapport från Nominis att kryptoförluster sjönk till 49 miljoner dollar i februari från 385 miljoner i januari, vilket tyder på att angripare kan skifta mot nätfiske och så kallade wallet‑poisoning‑metoder som utnyttjar mänskliga misstag snarare än enbart kodsårbarheter.
Neutral
Kärnpåverkan av Ghostblade är att öka risken för att användarkonton och förvaringsmoment blir kapade: det fångar direkt upp seedfraser/privata nycklar, börsautentiseringscookies, 2FA-koder och webbläsaruppgifter, och använder SIM-relaterade data för att stödja SIM-swappar och efterföljande bedrägerier. Sådana incidenter påverkar troligtvis kortsiktiga handelskänslor via "säkerhets-/risknyheter" snarare än att direkt ändra utbudet, efterfrågan eller on-chain fundamenta för någon specifik kryptoassetta.
Kortsiktigt: Om det kommer tätare rapporter om läckta uppgifter och börskontonbedrägerier kan det skapa en flyktsbenägen stämning och öka handelshindren för användare (t.ex. fördröjda/ frysta uttag, kundtjänst- och överklagandeproblem), vilket lätt kan störa marknadssentimentet.
Medellång/lång sikt: Även om förlusterna minskade i februari (från 385 miljoner USD i januari till 49 miljoner USD i februari) och detta kan återspegla förändringar i attackmetoder, betyder det inte att hotet har försvunnit; övergången från kodbaserade utnyttjanden till "mänskliga" attacker som nätfiske och förgiftning av plånböcker tenderar att göra säkerhetsincidenter mer långvariga.
Därför är den direkta påverkan på själva priset begränsad; effekten är överlag mer neutral och handlar om riskhantering.