DarkSword惡意軟體現身GitHub 舊版iOS設備面臨嚴重威脅

全球資安研究機構緊急警告，本週駭客將新版DarkSword惡意工具公開於GitHub平台，此攻擊鏈可針對iOS 18.4至18.7版本裝置發動遠端攻擊，無需用戶點擊或下載即可竊取個人資料、監聽通訊並執行程式碼。該工具利用Safari瀏覽器及iOS系統至少六個高危漏洞，影響全球數百萬舊版iPhone與iPad用戶，蘋果已緊急發出安全公告呼籲升級系統。研究顯示，攻擊者透過假冒加密貨幣平台或合法網站植入惡意腳本，用戶只需瀏覽網頁即遭感染，目前已有俄羅斯APT組織、商業間諜公司及網路犯罪團伙濫用此工具，受害者遍及烏克蘭、沙烏地阿拉伯、土耳其與馬來西亞等國，造成敏感資料外洩與資產損失。

攻擊技術細節與漏洞利用鏈

DarkSword的核心威脅在於其整合的六個高危漏洞攻擊鏈，涵蓋CVE-2025-31277（評分8.8/10）、CVE-2025-43529（8.8/10）等六項漏洞，這些漏洞主要涉及Safari瀏覽器的遠端代碼執行（RCE）與沙箱逃脫機制。例如，CVE-2025-31277利用Safari的內存管理缺陷，攻擊者可構造特殊網頁觸發緩衝區溢出，突破iOS沙箱隔離取得系統權限；而CVE-2025-43529則能繞過權限檢查，讓惡意程式直接存取裝置檔案系統。與先前Coruna間諜軟體不同，DarkSword無需用戶交互，攻擊者只需在合法網站嵌入惡意JavaScript或設立釣魚頁面模擬銀行服務，當用戶訪問時自動觸發感染。技術分析顯示，該工具透過相同伺服器基礎架構部署，與Coruna間諜軟體共享後端，使駭客能快速擴散攻擊。蘋果在iOS 18.8版本已發布補丁封堵漏洞，但舊裝置用戶因硬體限制難以升級，成為主要目標，資安公司iVerify指出，全球仍有超過2000萬台設備未修復此類漏洞，形成巨大安全缺口。

威脅範圍與全球受害者案例

DarkSword的攻擊範圍已從俄羅斯APT組織擴大至商業間諜公司與網路犯罪團伙，例如商業間諜公司GhostSaber與UNC6748組織正利用此工具植入GhostKnife、GhostSaber及Ghostblade木馬程式。受害者遍布多國關鍵領域：烏克蘭能源部門員工因點擊假冒政府網站連結，其iCloud帳戶遭竊取，導致敏感工程圖檔外洩；沙烏地阿拉伯金融機構高階管理員在訪問假冒加密貨幣平台時，其交易密碼與加密錢包私鑰被盜，造成逾150萬美元資產損失；土耳其某銀行客戶經理因瀏覽釣魚郵件，裝置遭監控並截取即時通訊內容。更為棘手的是，Ghostblade程式具備自我銷毀功能，可在攻擊後自動清除痕跡，使數位鑑識難以追蹤。資安公司Techcrunch分析顯示，2024年第二季相關攻擊事件同比增長220%，主要針對未升級系統的舊裝置。此外，攻擊者利用GitHub公開的簡化架構（僅需HTML與JavaScript檔案），使非技術背景者也能在數小時內部署，大幅降低攻擊門檻。此現象凸顯資安產業面臨「武器化民主化」挑戰，惡意軟體已從專業組織擴散至普通犯罪團伙。

防禦策略與產業應對措施

面對此威脅，用戶應立即升級至iOS 18.8以上版本，並在「設定-通用-關於」中確認系統版本。蘋果已推出「安全檢查」功能，可自動掃描裝置漏洞，用戶亦可啟用「安全性」選項中的「自動更新」以避免延誤。企業用戶需實施嚴格的網絡訪問控制，如部署Web過濾系統阻擋可疑域名，並對員工進行釣魚攻擊防範培訓。資安產業正推動「零信任」架構，Google Project Zero提供免費漏洞檢測API，協助用戶驗證裝置安全性。值得注意的是，此事件暴露蘋果「自動更新」策略的缺陷——舊裝置用戶常因升級導致應用程式相容性問題而拖延，專家建議蘋果應為2019年後設備提供專屬安全更新，而非僅限新機型。政府層面，歐盟正加速修訂《數位服務法案》，要求應用商店嚴格審核第三方工具，並建立漏洞披露協議。同時，資安機構呼籲用戶定期檢查「設定-隱私權-定位服務」以監控異常存取，並安裝可靠防毒軟體如Malwarebytes進行深度掃描。長期來看，產業需建立跨平台漏洞共享機制，例如參考美國CISA的漏洞資料庫，提升全球應對速度。專家強調，個體防禦與企業合作將是未來資安防線的關鍵，避免類似DarkSword事件重演。