【安全资讯】立陶宛黑客因传播KMSAuto恶意软件被捕，全球280万次下载

概要：

在数字资产交易日益频繁的今天，针对加密货币的恶意软件威胁持续升级。近日，一名立陶宛籍黑客因涉嫌通过伪装成Windows和Office非法激活工具KMSAuto的恶意软件，在全球范围内感染超过280万台系统，并窃取价值约120万美元的加密货币而被捕。此案凸显了使用非官方软件激活工具所带来的巨大安全风险。

主要内容：

根据韩国国家警察厅的通报，这名29岁的嫌疑人自2020年4月至2023年1月期间，在全球范围内分发了伪装成非法Windows许可证激活程序（KMSAuto）的恶意软件，累计下载量高达280万次。该恶意软件是一种“剪切板劫持器”（clipper malware），它会扫描用户剪切板中的加密货币地址，并将其替换为攻击者控制的地址，从而在用户进行转账时窃取资金。

调查显示，该恶意软件至少针对六家加密货币交易所的用户。通过分析被盗资金流向，警方锁定了嫌疑人，并于2024年12月在立陶宛进行了突击搜查，查获了包括笔记本电脑和手机在内的22件物品。最终，该黑客于2025年4月在从立陶宛前往格鲁吉亚的途中被捕，并已被引渡至韩国。

此次事件的核心技术在于恶意软件对系统剪切板的实时监控与篡改能力。攻击者将恶意代码植入到用户广泛使用的KMSAuto工具中，利用用户寻求免费激活软件的心理进行传播。一旦感染，恶意软件便在后台静默运行，专门识别并替换长达42个字符的加密货币钱包地址，作案手法隐蔽且直接。

韩国警方借此案提醒公众，使用侵犯版权的非法软件存在高风险，此类工具常被用作传播恶意软件的载体。安全专家建议，应避免使用非官方的软件激活器，以及任何未经数字签名、来源或完整性无法验证的Windows可执行文件，以保护数字资产安全。