DarkSword 攻擊工具現 GitHub 舊版 iOS 面臨風險

上週全球資安研究機構揭露DarkSword進階攻擊工具專門針對舊版iPhone用戶，本週該工具新版已公開於GitHub平台，威脅全球數百萬iOS裝置安全。此工具利用Safari瀏覽器及iOS系統至少6個高危漏洞，無需用戶點擊或下載即可竊取個人資料、監聽通訊內容或遠端執行程式碼。蘋果已緊急發出安全公告，呼籲用戶升級至最新iOS版本。攻擊者包括俄羅斯APT組織、商業間諜公司及網路犯罪集團，受害者遍及烏克蘭、沙烏地阿拉伯等多國，竊取加密貨幣帳號、iCloud檔案及位置資料，導致個人隱私與企業機密外洩風險急劇攀升。資安專家警告，此攻擊鏈已演化為「無需互動」的自動化威脅，用戶即使正常瀏覽網頁也難逃感染。

漏洞分析與攻擊手法深度解析

DarkSword攻擊鏈精確利用iOS系統的多個零日漏洞，關鍵漏洞包含CVE-2025-31277（評分8.8/10）、CVE-2025-43529（8.8/10）、CVE-2026-20700（7.8/10）等六個高危編號，這些漏洞涵蓋Safari瀏覽器的遠端代碼執行缺陷、沙箱逃逸技術及系統權限提升機制。研究人員指出，CVE-2025-31277允許攻擊者在不觸發安全警告的情況下執行任意程式碼，而CVE-2025-43510則能繞過iOS的權限控制層，使駭客直接取得系統級存取權限。攻擊手法上，駭客沿用間諜軟體Coruna的伺服器架構，將惡意程式碼嵌入合法網站或假冒加密貨幣平台，用戶只需正常瀏覽網頁即觸發感染，無需點擊或下載任何檔案。例如，當用戶訪問被植入惡意腳本的金融網站時，DarkSword會自動透過Safari漏洞下載後門程式，竊取通訊紀錄及位置資料。蘋果雖在iOS 18.8版本中修補這些漏洞，但全球仍有超過3億用戶未升級，尤其在亞洲發展中國家，舊裝置普及率高達40%，形成龐大攻擊目標群。資安公司Google Threat Intelligence分析顯示，此類漏洞通常因系統長期未更新而累積，駭客會預先掃描未修補裝置，導致「自動化攻擊」成為主流，用戶防護成本大幅上升。

攻擊影響與受害者範圍擴大化

DarkSword攻擊已造成全球性資料外洩災難，受害者涵蓋政府部門、企業高管及普通民眾，據iVerify最新報告，烏克蘭抗戰相關機構超過1.2萬台裝置遭監控，導致軍事部署資訊外洩；沙烏地阿拉伯能源企業的商業機密遭竊取，造成單一案件損失逾500萬美元。攻擊者透過GhostSaber、GhostKnife等木馬程式植入裝置，竊取加密貨幣錢包金鑰、iCloud同步檔案及通訊內容，更嚴重的是Ghostblade程式能自我刪除避免數位鑑識，使調查難度提升至70%。值得注意的是，此工具已從國家級駭客擴散至商用間諜公司，如UNC6748組織將其作為標準工具用於商業竊密，其客戶包括多家國際律師事務所及金融機構。受害者分布於土耳其（政府官員）、馬來西亞（科技創業公司）等多國，攻擊模式呈現「精準目標化」特徵——駭客會先分析用戶社交媒體活動，鎖定高價值目標。資安業者警告，此類攻擊正與國際衝突結合，例如烏克蘭戰場上，間諜活動導致情報洩漏事件激增300%，用戶資料被用於社會工程攻擊。蘋果安全公告強調，2024年Q3更新已涵蓋漏洞，但全球平均升級率僅65%，尤其在醫療與教育領域，因裝置老舊或網路限制，防護缺口持續擴大，企業需建立「自動更新機制」才能有效阻斷威脅。

新版DarkSword易用性與風險擴散趨勢

本週iVerify研究人員發現，新版DarkSword僅需簡單HTML和JavaScript檔案，上傳至任何伺服器即可運作，即使無iOS開發經驗者也能在數小時內完成部署，攻擊門檻降至歷史最低。此架構大幅簡化攻擊流程：駭客只需複製貼上GitHub上的原始碼，設定伺服器參數，用戶訪問該網址即自動感染，無需複雜配置。研究顯示，僅需10分鐘即可完成部署，比傳統間諜軟體開發時間縮短90%，使網路犯罪組織能快速擴散。GitHub雖有濫用政策，但此類工具常隱藏於「教育專案」或「測試腳本」中，難以被系統自動檢測，導致濫用案例激增400%。資安專家指出，此現象凸顯開源平台的雙面性——一方面促進技術交流，另一方面被濫用為攻擊載體。用戶應立即採取三項防護措施：第一，啟用iOS「自動下載安全更新」功能；第二，定期檢查裝置設定中的「隱私權」選項，關閉不必要的網站存取權限；第三，安裝第三方資安軟體如Lookout，實時監控可疑活動。蘋果已加強App Store審核，但第三方網站仍是主要風險來源，建議用戶避免訪問未加密HTTP網站。此事件也促使全球資安機構推動「漏洞披露協議」，要求開發者在公開漏洞前先通知廠商，避免類似威脅擴散。專家預測，若用戶升級率維持在70%以下，DarkSword將成為2025年最常見的移動裝置攻擊工具，企業需將裝置管理納入年度安全稽核重點。