Cardano用戶警惕：Eternl錢包釣魚攻擊升級，惡意軟件可遠程控制設備和私鑰

一場精心設計的釣魚攻擊正在Cardano生態中蔓延。攻擊者偽造專業郵件，聲稱提供NIGHT和ATMA代幣獎勵，誘導用戶下載詐騙版Eternl Desktop錢包。一旦安裝，惡意程式會在背景啟動遠端管理工具，攻擊者可以長期控制受害者設備，包括存取錢包私鑰。這已被安全研究人員評估為高危級別威脅。

攻擊手段：看似專業的社會工程學陷阱

偽造郵件的"完美"設計

攻擊郵件具有高度的專業性。郵件語氣正式、語法嚴謹，幾乎沒有拼寫或格式錯誤，這大大提升了迷惑性。郵件聲稱用戶可透過"Diffusion Staking Basket"計畫獲得NIGHT和ATMA代幣獎勵，利用了Cardano生態中質押收益的真實敘事來增強可信度。這種結合真實專案背景的社會工程攻擊，比單純的垃圾郵件更難被識別。

惡意軟體的隱蔽佈局

安全研究人員Anurag的分析顯示，虛假域名download.eternldesktop.network分發的Eternl.msi安裝包大小約23.3 MB，內部捆綁了隱藏的遠端管理工具LogMeIn Resolve。安裝後，惡意程式會釋放一個名為unattended-updater.exe的可執行檔，並在系統Program Files目錄中建立完整的檔案結構，寫入多個配置檔。其中unattended.json會直接啟用無需用戶確認的遠端存取權限。

這意味著用戶在毫不知情的情況下，已為攻擊者打開了設備的後門。

持續的遠端控制能力

惡意程式會連線至GoTo Resolve基礎設施，透過硬編碼的API憑證，以JSON格式持續向遠端伺服器回傳系統事件資訊。一旦成功入侵，攻擊者便可長期保持對設備的控制能力，包括遠端命令執行、憑證竊取以及錢包私鑰存取。這不是一次性的資料竊取，而是建立了一個持久的控制通道。

為什麼這次攻擊特別危險

用戶應該如何防範

立即行動

• 如果已下載Eternl Desktop，立即檢查下載來源和域名
• 如果是從download.eternldesktop.network下載，立即卸載並掃描系統
• 如果該設備曾存放ADA或其他加密資產，考慮將資產轉移到安全設備

驗證官方渠道

• 所有錢包應用必須從官方網站或官方應用商店下載
• 官方Eternl錢包的正確域名是eternl.io，任何其他域名都應警惕
• 檢查數位簽名的有效性，這是判斷軟體真偽的技術標準

識別釣魚信號

• 任何來自非官方渠道的"錢包更新"都應視為潛在威脅
• 電子郵件附件中的可執行檔（.exe、.msi等）需要特別謹慎
• 新註冊域名、縮短連結、非官方社交媒體帳號發來的下載連結都是高危信號

這反映的更深層問題

這次事件再次暴露了加密錢包生態的現實挑戰：用戶對錢包應用的信任度很高，但驗證真偽的能力有限。攻擊者正是利用這個資訊不對稱，透過精心設計的社會工程手段來突破防線。

Eternl作為Cardano生態中的知名錢包，其高知名度反而成為了攻擊者的利用工具。這說明即便是成熟的專案，也無法完全防止被冒充。

總結

這場釣魚攻擊的危險性在於三個層面的結合：專業的社會工程學設計、隱蔽的惡意軟體植入、以及對用戶設備的持久控制能力。對於Cardano用戶，目前最緊迫的任務是立即驗證錢包來源，確保沒有安裝詐騙版本。長遠來看，這也提醒整個加密生態，需要建立更有效的軟體真偽驗證機制，而不僅僅依賴用戶的警覺性。在下載任何錢包應用前，多花30秒驗證官方渠道，可能會救你數百萬的資產。