隐形比特币地址替换、成人玩具制造商泄露事件以及其他网络安全事件 - ForkLog：加密货币、人工智能、奇点、未来

# 不易察觉的比特币地址替换、成人玩具制造商数据泄露及其他网络安全事件

我们整理了本周网络安全领域的重要新闻。

• 黑客设计出不易察觉的比特币地址替换方案。
• 新型Android木马伪装成IPTV应用程序。
• Trezor和Ledger用户收到钓鱼纸质信件。
• 研究人员揭露大型公司通过扩展程序监控Chrome用户。

黑客设计出不易察觉的比特币地址替换方案

不法分子开始以套利交易为幌子，悄然替换比特币地址。此方案由BleepingComputer的专家发现。

该攻击活动基于声称在Swapzone交易平台发现“套利漏洞”后获得巨大利润的承诺。实际上，黑客运行恶意代码，直接在受害者浏览器中修改交换过程。

通常，ClickFix风格的攻击针对操作系统：通过欺骗用户运行PowerShell命令以“修复Windows错误”，从而安装木马或勒索软件。而此次攻击目标是浏览器中的特定会话。

据媒体报道，这是首次利用ClickFix机制操控网页以直接盗取加密货币的案例。

为了推广诈骗活动，黑客在流行的文本存储服务Pastebin上评论各种帖子，宣传“泄露破解文档”，声称能在两天内赚取1.3万美元，并附上链接。该“指南”在Google Docs中描述了在特定BTC交易对中获取虚高兑换金额的方案。

BleepingComputer的观察显示，相关文档被同时浏览人数从一到五不等，验证了该方案的活跃性。

据BleepingComputer报道，虚假指南建议用户：

1. 访问Swapzone网站；
2. 复制第三方资源中的JavaScript代码；
3. 返回Swapzone标签页，在地址栏输入javascript:，粘贴复制的代码并按回车。

此方法利用浏览器的javascript: URI功能，在打开的网页中执行代码。分析显示，主脚本加载第二个复杂的脚本部分，注入到Swapzone页面中，替换掉负责交易的Next.js脚本：

• 地址篡改。恶意脚本包含黑客比特币地址列表，将其中一个替换掉由交易所生成的真实存款地址；
• 视觉欺骗。代码修改显示的兑换汇率和金额，让用户误以为“套利方案”正常运作；
• 结果。受害者看到正常界面，却将资金转入黑客的比特币钱包。

新型Android木马伪装成IPTV应用程序

一种新型Android恶意软件Massiv伪装成IPTV应用，用于窃取数字身份和银行账户信息。网络安全公司ThreatFabric报道。

Massiv利用界面覆盖和按键记录收集敏感信息，还能实现对感染设备的远程完全控制。

在此次活动中，Massiv攻击了葡萄牙国家数字认证和签名系统Chave Móvel Digital相关应用。存储在这些服务中的数据可能被用来绕过身份验证（KYC）、访问银行账户及其他政府和私营在线服务。

ThreatFabric指出，已出现未经用户授权开设银行账户和服务的案例。

Massiv为操作者提供两种远程控制模式：

• 屏幕直播——利用Android MediaProjection API实时传输屏幕内容；
• UI树模式——通过Accessibility Service提取界面结构化数据。

来源：ThreatFabric。第二种模式允许黑客看到界面文本、元素名称及其坐标，从而模拟点击和编辑文本字段。更重要的是，该方法能绕过银行和金融应用中常见的屏幕截图保护。

研究人员指出，过去八个月，利用IPTV应用作为“钓饵”感染Android设备的案例显著增加。

来源：ThreatFabric。这类应用常侵犯版权，无法在Google Play中找到，用户多通过非官方渠道下载APK文件并手动安装。

报告显示，此次行动主要针对西班牙、葡萄牙、法国和土耳其的用户。

Trezor和Ledger用户收到钓鱼纸质信件

Trezor和Ledger用户收到伪装成官方通知的钓鱼信件，声称来自硬件钱包制造商。

网络安全专家Dmitry Smilyants表示，他收到的信件看似Trezor安全部门的正式通知。

信件使用公司信头，要求用户扫描二维码并在指定网站完成验证，截止日期前未完成将被限制钱包功能。

评论区还出现其他假冒Ledger的钓鱼案例。这些信件都制造紧迫感，促使受害者立即行动。

至少他们可以用更好的钓鱼页面 😭😭

甚至明文助记词也发到Telegram API…

trezor.authentication-check[.]io/black/ pic.twitter.com/fa85203awR

— 谁说了什么？ (@g0njxa) 2026年2月12日

信件中的二维码指向恶意网站，模仿Trezor和Ledger的官方设置页面。在最后阶段，用户被迫输入助记词以“确认设备所有权”。

研究人员揭露大型公司通过扩展程序监控Chrome用户

研究员Q Continuum发现，287个Chrome扩展程序会将所有浏览历史数据传输给第三方公司，总安装量超过3740万。

他利用自动化测试系统检查了Chrome Web Store中的32000个插件，发现超过30家公司在收集用户数据。

分析显示，许多提供便捷实用工具的扩展实际上未经充分授权请求访问浏览器历史。有些还对数据进行加密，增加检测难度。

研究人员指出，部分数据收集行为在隐私政策中有所说明，但用户往往未加注意。

被揭露收集数据的公司包括Similarweb、Semrush、Alibaba Group、ByteDance及其关联公司Big Star Labs。

其中，定制主题Stylish和广告屏蔽插件（Stands AdBlocker、Poper Blocker、CrxMouse）以及Similarweb扩展（SimilarWeb: Website Traffic & SEO Checker）也在名单中。

来源：GitHub用户Q Continuum。约有2000万次安装未能明确归属具体数据接收方。

Similarweb的隐私政策中记录了数据收集行为。公司声称已对信息进行去标识化处理，但同时也提到“部分数据可能包含个人和敏感信息，取决于搜索请求和浏览内容”。

知名成人玩具制造商客户数据泄露

日本Tenga公司向客户发出安全事件通知，报道数据泄露事件。据TechCrunch报道。

消息称，“一名第三方获得了我们一名员工的企业邮箱访问权限”，使黑客得以查看入站邮件内容。可能窃取了客户姓名、邮箱地址及通信记录，其中可能包括订单详情或客服咨询内容。

黑客还向被攻破员工的联系人名单中的客户发送垃圾邮件。

事发后，Tenga发言人告诉TechCrunch，技术鉴定结果显示，约有600名美国客户受到影响。

Tenga是全球知名成人用品供应商。考虑到产品性质，订单和客服信息很可能包含个人隐私，许多客户可能不愿公开。

公司已采取措施：

• 重置被攻破员工的账户凭据；
• 在所有系统中引入多因素认证——一项基础安全措施，可防止即使密码被盗也能访问账户。

发言人未确认在被攻破前是否启用了邮箱的双因素认证。

非洲警方逮捕651名嫌疑人，查获逾430万美元

非洲多国警方联合行动逮捕了651名嫌疑人，查获超过430万美元资金，打击投资诈骗。消息由国际刑警组织（Interpol）发布。

“Red Card 2.0”行动目标是涉及超过4500万美元损失的网络犯罪团伙。16个国家查获2341台设备，封锁1442个恶意网站、域名和服务器。

主要国家行动情况：

• 尼日利亚。警方摧毁了一个招募年轻人进行钓鱼攻击、窃取个人信息和实施虚假投资的诈骗网络。删除了超过1000个虚假社交账号。还逮捕了六名使用被盗员工账户信息进行大规模电信公司入侵的团伙成员；
• 肯尼亚。在调查利用社交媒体和即时通讯软件诱骗受害者参与虚假投资项目的团伙时，拘留了27名嫌疑人；
• 科特迪瓦。在打击微贷应用的行动中，逮捕了58人，他们利用隐藏手续费和非法催债手段。

此外，ForkLog还报道：

• OpenAI发布了评估AI智能体破解智能合约能力的基准测试；
• Claude Opus引发的Vibe编码导致DeFi项目Moonwell被攻破；
• Figure承认客户个人数据泄露；
• 韩国警方的冷钱包中失踪了22比特币。

周末阅读推荐

加拿大生物学家兼作家Peter Watts在小说《虚假盲点》中提出一项激进假设：意识可以在无意识状态下高效运作。距书籍出版近20年后，这一观点被准确描述为生成式AI的特性。

ForkLog新文章分析了我们在拟人化算法时常犯的错误。