Cardano钱包安全警报:Eternl Desktop钓鱼攻击曝光,私钥面临远程控制风险
近期,一场针对 Cardano 用户的网络钓鱼攻击正在蔓延,多名安全研究人员发现,攻击者通过精心伪造的电子邮件,诱导用户下载名为 Eternl Desktop 的欺诈性钱包应用,从而窃取设备控制权并危及加密资产安全。该事件已被视为当前 Cardano 生态中较为严重的钱包安全风险之一。
攻击邮件内容高度专业,语气正式、语法严谨,几乎不存在拼写或格式错误。邮件声称用户可通过 Diffusion Staking Basket 计划获得 NIGHT 和 ATMA 代币奖励,以此增强可信度,并引导用户点击下载链接。实际上,该链接指向一个新注册域名 download.eternldesktop.network,而非官方渠道。
安全研究人员 Anurag 发现,该域名分发的 Eternl.msi 安装包大小约为 23.3 MB,内部捆绑了隐藏的远程管理工具 LogMeIn Resolve。安装后,恶意程序会释放一个名为 unattended-updater.exe 的可执行文件,并在系统 Program Files 目录中创建完整文件结构,同时写入 unattended.json、logger.json、mandatory.json 和 pc.json 等多个配置文件。其中,unattended.json 会直接启用无需用户确认的远程访问权限。
进一步的网络分析显示,该恶意程序会连接至 GoTo Resolve 的基础设施,并通过硬编码的 API 凭据,以 JSON 格式持续向远程服务器回传系统事件信息。这意味着攻击者一旦成功入侵,便可长期保持对受害者设备的控制能力,包括远程命令执行、凭据窃取以及潜在的钱包私钥访问,安全风险被评估为高危级别。
值得警惕的是,欺诈版本的 Eternl Desktop 在界面与功能描述上几乎完全复制官方版本,涵盖硬件钱包兼容性、本地密钥管理以及高级质押委托等内容,极具迷惑性。攻击者明显利用了 Cardano 治理、质押收益与生态激励等叙事进行社会工程攻击。
安全专家提醒,所有 Cardano 用户在下载钱包应用或参与质押活动前,务必通过官方渠道验证软件来源,并确认数字签名有效。任何来自新注册域名、电子邮件附件或非官方链接的“钱包更新”,都应视为潜在威胁。当前这起事件也再次凸显了加密钱包钓鱼攻击与供应链滥用对 Cardano 生态安全带来的现实挑战。