堆代码讯 上周，网络安全研究人员发现了一场针对 iPhone 用户的黑客攻击活动，攻击者使用了一款名为 DarkSword 的高级黑客工具。如今，有人泄露了 DarkSword 的更新版本，并将其发布在了 GitHub 上。研究人员发出警告，这意味着任何黑客都能轻易利用这套工具，攻击那些仍在运行旧版苹果系统、尚未升级至最新 iOS 26 的 iPhone 用户。根据苹果官方针对未更新系统设备的统计数据，这一漏洞可能影响数亿台正在活跃使用的 iPhone 和 iPad。

“这太糟糕了。这些工具太容易被二次改造利用了，” 移动安全初创公司 iVerify 的联合创始人马蒂亚斯・弗里林格斯多夫周一告诉 TechCrunch，“我认为这已经没法遏制了，我们得做好准备，犯罪分子和其他攻击者很快就会开始部署这套工具。”

弗里林格斯多夫表示，这些新版 DarkSword 间谍软件，和他与 iVerify 同事此前分析的版本使用了同一套基础设施，只是文件细节略有不同。他提到，上传到 GitHub 的文件结构十分简单，仅由 HTML 和 JavaScript 代码构成，这意味着任何人都能复制粘贴这些代码，“短短几分钟到几小时内” 就能把它部署到自己的服务器上。“这些漏洞利用工具开箱即用，” 弗里林格斯多夫说，“完全不需要任何 iOS 专业技术知识。”

此前曾分析过 DarkSword 漏洞的谷歌发言人金伯利・萨姆拉表示，谷歌的研究人员认同弗里林格斯多夫的判断。一位网名为 matteyeux 的安全爱好者也向 TechCrunch 表示，使用这份泄露的 DarkSword 样本毫无难度。他周一在 X 平台发帖称，自己用网上流传的那份 “野外” DarkSword 样本，成功入侵了一台运行 iOS18 的 iPad mini——iOS18 是上一代系统，正是 DarkSword 的可攻击目标。

苹果发言人萨拉・奥罗克告诉 TechCrunch，公司已经注意到这个针对运行老旧过时系统设备的漏洞，并在 3 月 11 日为那些无法运行新版 iOS 的设备推送了紧急更新。“保持软件更新是保护苹果设备安全最重要的一件事，” 奥罗克说，她补充道，已更新系统的设备不会受到这些报道中的攻击影响，而苹果的锁定模式也能拦截这类特定攻击。GitHub 的母公司微软的发言人，没有立即回应置评请求。

我们不会提供这份代码的链接，因为它可能被用于实时攻击。代码中包含多条注释，说明了这些漏洞的工作原理以及部署方法。其中一条注释，大概率是 DarkSword 的某位开发人员所写，称该漏洞 “可通过 HTTP 读取并窃取 iOS 设备上与取证相关的文件”—— 也就是从用户的 iPhone 或 iPad 中盗取信息，再通过网络将数据发送到攻击者控制的服务器。注释还写道：“该攻击载荷需要被注入到拥有文件系统访问权限的进程中。”

在其中一处，代码提到了 “后渗透活动”，描述了恶意软件入侵用户手机后的后续操作：它会获取手机内的全部内容，包括联系人、短信、通话记录，以及存储着 Wi-Fi 密码和其他敏感信息的 iOS 钥匙串，然后将这些数据全部转存到远程服务器。还有一个文件提到了向乌克兰某知名服装网站上传数据，不过 TechCrunch 暂未查明此举的原因。此前有消息称，DarkSword 曾被俄罗斯政府黑客用于攻击乌克兰目标。

iVerify、谷歌以及同样曾分析过 DarkSword 恶意软件的安全机构 Lookout 均表示，这款间谍软件专门针对运行 iOS18 系统的 iPhone 和 iPad 设备。根据苹果官方数据，目前约有四分之一的 iPhone 和 iPad 用户，设备仍在运行 iOS18 或更早版本的系统。苹果全球活跃设备总量超过 25 亿，这意味着可能有数亿用户的设备存在被 DarkSword 攻击的风险。

这也是弗里林格斯多夫建议所有人尽快升级 iPhone 系统的原因。就在 DarkSword 被发现的几周前，研究人员还发现了另一款名为 Coruna 的高级 iPhone 黑客工具包。正如 TechCrunch 此前报道，Coruna 最初由国防承包商 L3Harris 开发，该公司旗下的 Trenchant 部门专门为美国政府及其盟友打造黑客工具。