精密运作的“藏海花”后门攻击瞄准Web3钱包窃取助记词

神秘病毒“藏海花”悄然潜入，瞄准Web3钱包用户！这款病毒通过克隆合法应用植入隐蔽后门，窃取助记词，将资金悄无声息地转移走。这场攻击被视为迄今为止最复杂的Web3用户威胁之一，攻击者展示了令人叹为观止的技能。

Part01

*四款主流钱包沦陷*

“藏海花”专门针对Coinbase Wallet、MetaMask、TokenPocket和imToken等四款主流钱包，同时覆盖iOS和Android平台。病毒克隆的应用程序与正版应用在像素级别完全一致，用户界面、钱包功能及整体使用体验均保持不变，让用户在常规操作中难以察觉异常。

Confiant分析师确认“藏海花”是一个独特且此前未被记录的恶意活动集群，与中文威胁行为者存在关联。注入的后门代码中的源代码注释使用中文编写，泄露的macOS开发者用户名对应中文姓名，且使用的篡改框架在华语开发者社区中广泛流行。与该活动相关的基础设施可追溯至中国内地和香港的IP地址空间，域名注册使用.cn顶级域，并滥用阿里云CDN进行内容分发。

Part02

*病毒命名背后的故事*

该活动名称源自分析过程中发现的细节。研究人员在一个注入的.dylib文件中发现泄露的macOS用户名”张海科”，搜索该名称后关联到中文小说《藏海花》中的角色。在不同版本的后门钱包中还发现了”lanyu”和”trader”等开发者用户名，证实了整个行动存在共同作者。

Part03

*搜索引擎成为病毒传播通道*

大多数受害者通过搜索引擎进入攻击链条。当用户搜索”download metamask ios”等关键词时，搜索引擎返回的结果会将用户重定向至”藏海花”运营的虚假网站。这些克隆网站与官方钱包下载页面视觉上无法区分，还伪造了评分和下载量数据，诱骗用户安装木马化应用。

Part04

*后门机制揭秘：*

*隐藏在应用中的恶意负载*

用户安装经过“藏海花”篡改的钱包后，恶意代码将在后台静默运行。对于iOS设备，感染始于虚假网站推送的配置文件下载，使得后门应用能够绕过苹果应用商店运行。安装后，应用功能完全正常，但其代码中隐藏着静默工作的注入动态库。

在MetaMask iOS钱包（SHA-256: 9003d11f9ccfe17527ed6b35f5fe33d28e76d97e2906c2dbef11d368de2a75f8）中，研究人员在编译后的Mach-O二进制文件内发现两个注入的.dylib文件。主要恶意库利用iOS篡改工具（Cydia Substrate、Cycript和MonkeyDev）挂钩应用运行时，且不触发任何可见警报。

注入库中包含一个名为FKKKSDFDFFADS的混淆类，其中存放着RSA加密的后门代码。在运行时解密后，会显示一个startupload()函数，该函数通过HTTPS将受害者的助记词、钱包地址和余额静默传输至攻击者控制的域名（如模仿合法Infura服务的trx.lnfura[.]org等相似域名）。

Part05

*Android平台病毒传播手法*

在Android平台上，攻击手法更为简单但同样有效。对于Coinbase Wallet APK（SHA-256: 83dec763560049965b524932dabc6bd6252c7ca2ce9016f47c397293c6cd17a5），攻击者通过名为XMPMetadata的类注入恶意smali代码，当助记词保存至存储时即触发HTTP POST请求。

命令控制域名通过Base64编码进一步隐藏，最终解析至https://colnbase[.]homes/u/sms/。

Part06

*安全防护建议*

• 务必仅从苹果App Store或Google Play商店下载钱包应用
• 切勿在iPhone上批准未知的配置文件，这些文件允许未经验证的软件绕过苹果的安全控制
• Web3开发者应实施内联钩子检测、注入库检测和反插桩防御，提高篡改成本
• 主动监控钱包应用的出站网络流量，警惕异常域名
• 在技术可行的情况下，验证下载应用文件的SHA-256哈希值，确保安装前文件完整性

参考来源：

Sophisticated SeaFlower Backdoor Campaign Targets Web3 Wallets to Steal Seed Phrases

Sophisticated SeaFlower Backdoor Campaign Targets Web3 Wallets to Steal Seed Phrases

---

推荐阅读

电台讨论