这项恶意软件攻击活动是何时开始的？

该恶意软件攻击活动自2025年6月起持续活跃，自启动以来已入侵超过90台主机。

恶意软件通过哪种类型的文件进行传播？

该恶意软件通过MSI安装程序文件进行传播，这是众多合法软件厂商所使用的标准Windows安装包格式。

恶意软件感染系统后会做什么？

该恶意软件会部署一套由三个模块组成的工具包，分别执行系统侦察、激活键盘记录器以捕获凭据和双重验证码，以及窃取浏览器存储的密码、会话Cookie和自动填充数据。

为何将SSH凭据和GitLab令牌硬编码在安装程序中被视为安全风险？

嵌入安装程序文件中的硬编码凭据可被任何检查该二进制文件的人读取，这可能向防御者和调查人员暴露攻击者的命令与控制服务器及代码仓库。

使用硬件钱包是否足以防范此类攻击？

根据文章内容，仅依赖硬件钱包并不足以防范此次攻击活动，因为该恶意软件针对的是凭据、会话Cookie和键盘记录，可在无需直接访问钱包的情况下绕过身份验证。

MSI安装程序恶意软件自2025年6月起针对加密货币交易者发动攻击

一项针对加密货币交易者的复杂恶意软件攻击活动自2025年6月以来一直悄然活跃，使用了一种看似简单却十分有效的手段：将SSH凭据和GitLab令牌直接硬编码在MSI安装程序文件中。该行动已入侵超过90台主机，并专门通过将系统侦察、键盘记录与浏览器数据窃取整合为一条协调攻击链，以达到接管加密货币交易账户的目的。对于任何持有或正在积极交易数字资产的用户而言，该攻击活动的运作机制揭示了为何仅依赖硬件钱包并不足以提供充分保护。

MSI安装程序攻击活动的运作方式：侦察、键盘记录与浏览器数据窃取

攻击始于目标用户执行一个看似合法的MSI安装程序——这是无数软件厂商所使用的标准Windows安装包格式。一旦运行，该安装程序便会部署一套由三个模块组成的恶意软件工具包，并按顺序依次执行。

第一个模块执行系统侦察，绘制受感染主机的配置信息、网络环境及已安装软件的全貌。这一阶段使攻击者在深入入侵之前能够清晰掌握目标系统的状况。第二个模块激活键盘记录器，捕获受害者的所有键盘输入，包括交易所登录凭据、双重身份验证码以及钱包密码短语。第三个模块针对浏览器存储的数据，提取已保存的密码、会话Cookie及自动填充条目，从而无需直接获取账户密码，即可绕过金融平台的身份验证。

这种组合是经过刻意设计的。键盘记录捕获动态中的凭据，浏览器数据窃取捕获静态中的凭据。两者结合，几乎不留任何漏洞。

为何硬编码凭据会带来系统性风险

从安全研究角度来看，该攻击活动最值得关注之处，不仅在于它对受害者造成的危害，更在于它所暴露的攻击者自身问题。将硬编码的SSH凭据和GitLab令牌嵌入安装程序，意味着恶意软件携带了一条直接指向其后端基础设施的静态链接。

这是攻击者在行动安全方面的失误，且并非该团伙所独有。无论是开发合法软件还是恶意工具的开发者，一旦将身份验证令牌硬编码进已编译或已打包的文件中，这些凭据便能被任何检查该二进制文件的人所读取。对于防御者而言，恶意软件中的硬编码凭据可能暴露命令与控制服务器、代码仓库，乃至威胁行为者的内部开发工作流程。对于受害者而言，这一可能有助于调查人员追踪攻击者的缺陷，在入侵已经发生之后并不能提供任何保护。

这一模式与云端目标恶意软件的更广泛趋势相吻合。正如有关PCPJack恶意软件利用云凭据漏洞的报道所揭示的，凭据窃取框架越来越多地将不当保护的令牌视为唾手可得的目标，无论这些令牌属于受害者，还是如本案例中属于攻击者自身。

攻击目标为何锁定加密货币交易者

该攻击活动聚焦于加密货币交易者并非偶然。加密账户具有独特的高价值目标特征：通常持有大量流动资产，交易一旦广播至区块链便不可逆转，且许多交易者同时通过基于浏览器的界面在多个交易所管理仓位。

最后一点至关重要。基于浏览器的交易意味着浏览器存储的会话信息、Cookie及已保存凭据是进入账户的直接通道。获取了有效会话Cookie的攻击者，往往可以在不触发密码或双重验证提示的情况下登录交易所，因为该会话本身已处于已验证状态。键盘记录模块则可覆盖交易者退出并重新登录的任何场景，实时捕获新鲜凭据。

在已确认超过90台主机遭到入侵的情况下，该攻击活动的规模表明这是一项有针对性的持续行动，而非广撒网式的随机攻击。自2025年6月以来从非官方或未经验证的来源下载过软件的交易者面临最高风险。

VPN、密码管理器与浏览器安全习惯如何缩小攻击面

没有任何单一工具能够完全消除该攻击活动所代表的风险，但若干实践措施可有效降低暴露程度。

VPN无法阻止恶意软件在已进入设备后执行，但可以降低流量被拦截的风险，并能限制攻击者在侦察阶段所获得的网络层可见性。更重要的是，在所有设备上始终如一地使用VPN，有助于将网络安全习惯内化为一种常态，而非事后补救。

密码管理器可应对本次攻击的核心向量之一：浏览器存储的密码。当凭据存储在专用的加密管理器中，而非浏览器原生密码库时，浏览器数据窃取所能获取的可用信息将大幅减少。大多数密码管理器还支持为每个账户生成独特的复杂密码，从而在某组凭据被捕获时限制波及范围。

浏览器安全习惯同样重要。交易者应考虑使用专属浏览器配置文件，或专门用于访问交易所的独立浏览器。该配置文件不应保存任何密码，除绝对必要的扩展程序外不安装其他插件，并在每次会话结束后清除Cookie。不再存在的会话Cookie自然无法被窃取。

最后，软件安装纪律是第一道防线。从官方供应商网站或应用商店以外渠道获取的MSI文件存在切实风险。验证文件哈希值、检查发布者签名，以及将任何要求禁用安全软件的安装程序视为立即警示信号，均可阻止初始执行——而正是这一步使后续一切攻击成为可能。

这对您意味着什么

如果您正在积极交易加密货币，或持有可通过基于浏览器的界面访问的数字资产，此次攻击活动对您而言是一个直接警告。硬件钱包可以保护链上资金，但无法保护交易所账户，而这正是该恶意软件所针对的目标。

首先，审查您的凭据目前存放在何处。如果您的交易所密码保存在浏览器中，请将其迁移至专用密码管理器，并为每个平台生成新的唯一密码。检查您的浏览器扩展程序，移除所有不再使用的插件。检查您自2025年6月以来的下载历史，排查任何来自无法验证来源的MSI安装程序。

凭据窃取行动日益升级的复杂程度——从本文所述的硬编码令牌攻击活动，到云端目标框架中记录在案的多CVE漏洞利用——使主动的凭据安全管理成为个人用户最有效的防御手段之一。今天花一小时审查您的安全设置，远比明天从账户被接管的困境中恢复要轻松得多。