不易察覺的比特幣地址替換、成人玩具製造商的資料外洩以及其他網路安全事件 - ForkLog：加密貨幣、人工智慧、奇點、未來

# 不易察覺的比特幣地址替換、成人玩具製造商資料外洩及其他網路安全事件

我們整理了本週最重要的網路安全新聞。

• 黑客設計出不易察覺的比特幣地址替換方案。
• 新型Android木馬偽裝成IPTV應用程式。
• Trezor與Ledger用戶收到釣魚紙本信件。
• 研究人員揭露大型公司透過擴充功能監控Chrome用戶。

黑客設計出不易察覺的比特幣地址替換方案

不法分子開始以有利的加密貨幣套利交易為由，秘密替換比特幣地址。此方案由BleepingComputer的專家發現。

此攻擊活動建立在Swapzone交易平台上，聲稱發現了「套利漏洞」，承諾高額獲利。實際上，黑客執行惡意程式碼，直接在受害者瀏覽器中修改交易流程。

通常，ClickFix風格的攻擊針對作業系統：誘使用戶在PowerShell中執行命令以「修復Windows錯誤」，進而安裝惡意軟體或勒索軟體。而這次的目標則是瀏覽器中的特定會話。

根據媒體報導，這是首次利用ClickFix機制操控網頁，進行直接竊取加密貨幣的案例。

為推廣詐騙活動，黑客在知名文字存儲服務Pastebin上留言，發布各種貼文。

來源：BleepingComputer。他們宣稱「洩露破解文件」，可在兩天內賺取1萬3千美元，並附上相關連結。Google文件中的「指南」描述了在特定BTC交易對中獲取高額交易額的方案。「指南」內容持續被多人瀏覽，證明詐騙活動仍在進行。

來源：BleepingComputer。在假冒指南中，建議用戶：

1. 進入Swapzone網站。
2. 從第三方資源複製JavaScript程式碼。
3. 返回Swapzone標籤頁，在網址列輸入javascript:，貼上複製的程式碼並按Enter。

此方法利用瀏覽器的javascript: URI功能，可在開啟的網站中執行惡意程式碼。分析顯示，初始腳本會載入第二段較為複雜的負載，並注入到Swapzone頁面中，取代原有的Next.js交易腳本：

• 地址替換：惡意腳本包含黑客的比特幣地址清單，會用其中一個地址取代由交易所產生的真實存款地址；
• 視覺欺騙：修改顯示的匯率與金額，讓用戶誤以為套利方案有效；
• 最終結果：用戶看到正常的界面，但實際上資金已轉入黑客的比特幣錢包。

新型Android木馬偽裝成IPTV應用

最新Android惡意軟體Massiv偽裝成IPTV應用，用於竊取數位身份與存取銀行帳戶。資安公司ThreatFabric指出。

Massiv利用視窗疊加與鍵盤點擊記錄收集敏感資料，並能遠端控制受感染裝置。

在活動中，Massiv攻擊了葡萄牙的官方應用，該應用與國家數位認證系統Chave Móvel Digital相關。這些資料可用於繞過身分驗證（KYC）、存取銀行帳戶，或其他政府與私人線上服務。

ThreatFabric指出，已出現用受害者名義開設銀行帳戶與服務的案例。

Massiv提供兩種遠端控制模式：

• 影像串流 — 利用Android MediaProjection API即時傳輸螢幕畫面；
• UI樹模式 — 透過Accessibility Service擷取界面結構資料。

來源：ThreatFabric。第二種模式讓攻擊者能看到界面文字、元素名稱與座標，進而模擬點擊與修改文字欄位。更重要的是，此方法能繞過銀行與金融應用常見的螢幕截圖保護。

研究人員觀察到，過去八個月來，利用IPTV應用作為Android裝置的「誘餌」攻擊手法大幅增加。

來源：ThreatFabric。這些應用常侵犯版權，無法在Google Play找到，用戶多半從非官方來源下載APK檔案並手動安裝。

根據報告，此活動主要針對西班牙、葡萄牙、法國與土耳其的用戶。

Trezor與Ledger用戶收到釣魚紙本信件

Trezor與Ledger用戶收到冒充官方的紙本釣魚信件。

資安專家Dmitry Smilyants表示，他收到的信件看起來像是Trezor安全部門的正式通知。

信件用公司信頭，要求用戶掃描QR碼，並在指定網站完成驗證，截止日期前未完成者將失去錢包功能。

在留言中，也出現其他假冒Ledger的釣魚案例。這些信件都營造緊迫感，促使受害者立即行動。

至少他們本可以設計更好的釣魚頁面 😭😭

甚至用純文字傳送助記詞到Telegram API…

trezor.authentication-check[.]io/black/ pic.twitter.com/fa85203awR

— Who said what? (@g0njxa) 2026年2月12日

信件中的QR碼導向惡意網站，模仿Trezor與Ledger的官方設定頁面。最後階段，會要求用戶輸入助記詞，以「證明擁有裝置」。

研究人員揭露大型公司透過擴充功能監控Chrome用戶

研究人員Q Continuum發現，有287個Chrome擴充功能會傳送所有瀏覽歷史資料給第三方公司，總安裝數超過3740萬。

他利用自動測試系統檢查了Chrome Web Store中的32,000個擴充，發現超過30家企業在收集用戶資料。

分析指出，許多提供便利工具的擴充，實際上不合理地要求存取瀏覽歷史。有些甚至加密資料，增加追蹤難度。

研究人員表示，部分資料收集已在隱私政策中說明，但用戶往往未加注意。

他揭露Similarweb、Semrush、Alibaba集團、ByteDance及與Similarweb相關的Big Star Labs都在收集資料。

其中，定制主題Stylish與廣告攔截器（Stands AdBlocker、Poper Blocker、CrxMouse）以及Similarweb的擴充（SimilarWeb: Website Traffic & SEO Checker）都在列。

來源：GitHub用戶Q Continuum。約有2千萬次安裝（佔總數的五分之四）未能追蹤到特定資料接收者。

Similarweb的隱私政策中有資料收集的說明，該公司聲稱資料已去識別化，但也提到「部分資料可能包含個人或敏感資訊，視搜尋內容與瀏覽內容而定」。

著名成人玩具製造商資料外洩

日本Tenga公司通知客戶資料外洩事件，TechCrunch報導。

消息指出，「有第三方取得我們一名員工的公司電子郵件帳號存取權」，使駭客能存取收件箱內容。可能看到並竊取客戶姓名、電子郵件地址與通訊記錄，甚至包含訂單細節或客服記錄。

駭客還向被侵入員工的聯絡人發送垃圾郵件，包括公司客戶。

Tenga發言人表示，經技術調查，約有600名美國用戶受到影響。

Tenga是全球成人用品供應商。由於產品性質，訂單與客服資料很可能包含個人資訊，許多客戶不願公開。

公司已採取措施：

• 重設被攻擊員工的帳號資料；
• 在所有系統中導入多重驗證，防止帳號被盜用。

公司未透露郵件帳號是否在被攻擊前啟用雙重驗證。

非洲警方逮捕651名嫌疑人，打擊網路犯罪

非洲多國警方聯合行動，逮捕651名嫌疑人，查獲超過430萬美元資產，並沒收2341台裝置、封鎖1442個惡意網站、域名與伺服器，根據Interpol消息。

Red Card 2.0行動針對涉及超過4500萬美元損失的網路犯罪集團。16國警方共查獲大量證據。

主要國家行動摘要：

• 奈及利亞：警方瓦解一個招募年輕人進行釣魚、竊取個資與假投資的詐騙集團，封鎖逾千個社群帳號，逮捕六名成員，並利用竊取的員工帳號攻擊大型電信公司；
• 肯亞：拘留27名嫌疑人，調查其透過社群媒體與訊息軟體誘騙受害者參與假投資；
• 科特迪瓦：逮捕58人，打擊利用隱藏手續費與非法催收的微型貸款應用。

此外，ForkLog報導：

• OpenAI推出新基準，用於評估AI破解智能合約的能力；
• Claude Opus引發DeFi項目Moonwell的安全漏洞；
• Figure承認客戶資料外洩；
• 韓國警方失竊22比特幣。