警惕新型加密货币恶意软件JSCEAL！假冒主流CEX、MetaMask等50余平台窃取用户数据，影响超千万用户

知名安全机构Check Point发布最新威胁预警，揭露名为JSCEAL的新型加密货币恶意软件活动。该恶意软件通过仿冒主流CEX、MetaMask、eToro等50多个知名加密货币交易平台和钱包服务，利用虚假广告诱骗用户下载恶意应用，进而窃取敏感数据。攻击者采用复杂混淆技术和独特反检测手段，仅在欧洲就覆盖潜在受害者超350万，全球影响或超千万加密货币用户。本文详解JSCEAL攻击手法并提供安全防护建议。

【JSCEAL恶意软件活动概况】 安全研究机构Check Point Research近期在其博客中警告加密货币交易者注意一种相对新颖的网络威胁。这种被称为JSCEAL的恶意软件自2024年3月开始活动，初期规模有限，但现已演变为更为复杂的加密货币数据窃取行动。该恶意软件专门通过仿冒知名加密平台（包括但不限于主流CEX、MetaMask、eToro、DEX Screener、门罗币(Monero)等约50家）来窃取用户与加密货币相关的敏感信息。

【攻击手法：虚假广告诱饵与恶意应用】 该恶意软件活动主要运作方式是：投放虚假加密货币平台广告引诱潜在受害者。当用户点击这些广告后，会被重定向至精心设计的仿冒官网（诱饵网站）。这些网站诱导用户下载并安装伪装成合法交易应用的恶意程序，用户误以为自己在安装真实的主流CEX、MetaMask或其他平台应用。

【波及范围：数千万用户面临风险】 Check Point指出：“在2025年上半年，威胁行为者投放了约35,000个恶意广告，仅在欧洲联盟(EU)范围内就获得了数百万次展示。”据该安全公司估算，每个广告在欧盟至少能覆盖100名用户。这意味着仅凭35,000个广告，攻击者就能触及欧盟内350万用户。 值得注意的是，该数据尚未包含欧盟以外的用户。考虑到全球社交媒体用户基数远大于欧盟，Check Point得出结论：“该恶意软件的全球潜在影响范围很可能轻松超过1000万人”，对全球加密货币投资者安全构成严重威胁。

【JSCEAL技术细节：复杂隐匿与数据窃取】 根据博客文章，该恶意软件活动的最新版本采用了独特的反检测（Anti-Evasion）技术，使其难以被发现。其核心手段是利用仿冒网站直接引导用户下载恶意程序到其设备，这种双层攻击策略“显著增加了分析和检测的难度”。

• 技术构成： JSCEAL主要使用JavaScript编程语言，并采用了编译代码与高强度混淆技术相结合的方法。这种方式使得恶意代码无需受害者主动触发即可在后台运行，提升了加密钱包安全防护的难度。
• 窃取目标： 该活动的主要目的是从受感染的设备中窃取信息并发送到攻击者的服务器。根据Check Point的分析，攻击者收集的信息范围广泛，包括：
  • 设备位置信息
  • 浏览器保存的自动填充密码（加密货币账户密码泄露风险极高）
  • 网络连接详细信息
  • 电子邮件信息
  • 代理配置
• 后续攻击： 如果攻击者认为某个受害者具有高价值（例如持有大量加密货币），他们会部署额外的代码，下载并执行“最终有效载荷（Final Payload）”。这个最终载荷能窃取更多数据，并可能清除设备上所有恶意软件痕迹，掩盖虚假交易平台识别的线索。

【加密货币用户安全防护建议】 尽管JSCEAL采用了复杂的隐匿技术，用户仍可通过部署可靠的反恶意软件解决方案来检测其恶意行为，并在设备已感染的情况下阻止正在进行的攻击。定期更新安全软件和保持操作系统补丁最新是防范此类加密资产安全威胁的基础。对于涉及加密货币操作的设备，建议进行专门的安全审计。

结语： JSCEAL恶意软件活动展示了针对加密货币用户的供应链攻击新趋势，其规模化运作和强大的隐匿能力对个人资产安全构成严峻挑战。加密货币持有者和交易者务必提高警惕，仅通过官方验证渠道下载应用，对网络广告保持高度怀疑，并投资于强大的安全防护措施，以保护您的数字资产安全和区块链账户隐私。切记，私钥安全是加密资产安全的基石，切勿在非官方或可疑平台上输入。