DarkSword 泄露,国家级 iPhone 攻击武器走向「开源」
2026 年 3 月 23 日,一个名为 DarkSword 的 iPhone 攻击工具包被人上传至 GitHub,完整代码公开可见。据报道,泄露版本比此前研究人员分析过的样本更新,且全部由 HTML 和 JavaScript 组成,不需要任何 iOS 安全研究经验就能部署。
这事的严重性在于:DarkSword 不是一个概念验证,而是一套完整的实战级攻击链。它能在受害者用 Safari 浏览器访问一个被感染的网站时,在几秒到几分钟内窃走 iPhone 上的短信、通讯录、密码、加密货币钱包数据、iCloud 文件、照片和通话记录,随后自动清理痕迹退出。泄露的代码可以直接使用,任何人复制粘贴到服务器上就能发动攻击。
Apple 方面回应称,已在 3 月 11 日为无法运行 iOS 26 的旧设备发布紧急更新。但根据 Apple 自己的数据,约四分之一的 iPhone 和 iPad 用户仍在运行 iOS 18 或更早版本。Apple 目前拥有超过 25 亿台活跃设备,这意味着数亿台设备暴露在风险之中。
技术要点:六个漏洞,一条完整攻击链
DarkSword 的攻击路径可以简单理解为「逐层突破」:先在浏览器里拿到代码执行能力,再一层一层逃出 iOS 的安全沙箱,最终获得对整部手机的完全控制。
Google Threat Intelligence Group (GTIG) 的分析显示,DarkSword 串联了六个漏洞,其中三个在被利用时是零日漏洞:
漏洞编号位置作用修复版本
CVE-2025-31277JavaScriptCore浏览器内远程执行代码(iOS 18.6 以下)iOS 18.6
CVE-2025-43529JavaScriptCore浏览器内远程执行代码(iOS 18.6-18.7)iOS 18.7.3 / 26.2
CVE-2026-20700dyld绕过 PAC 硬件保护(零日)iOS 26.3
CVE-2025-14174ANGLE从浏览器沙箱逃逸至 GPU 进程iOS 18.7.3 / 26.2
CVE-2025-43510iOS 内核从 GPU 进程逃逸至 mediaplaybackdiOS 18.7.2 / 26.1
CVE-2025-43520iOS 内核内核提权,获取完全读写能力iOS 18.7.2 / 26.1
说白了,用户只要用 Safari 访问一个被植入恶意代码的网站,DarkSword 就会自动判断设备的 iOS 版本,选择对应的攻击模块,一路从浏览器打穿到内核层。整个过程全部在 JavaScript 中完成,不需要 Mach-O 二进制文件——这也是它能被「复制粘贴就部署」的原因。
据 Lookout 安全公司的分析,DarkSword 采用「打了就跑」策略:得手后在几分钟内完成数据窃取,随即删除自身痕迹。它不是设计用于长期监控的,而是追求快速、大量地拿走高价值数据。被窃取的信息覆盖面极广,包括 iMessage、WhatsApp、Telegram 聊天记录,以及 Coinbase、Binance、MetaMask、Ledger 等十多个加密货币平台的钱包数据。
谁在用 DarkSword?
GTIG 追踪到至少三个独立威胁行为者在使用 DarkSword,目标横跨四个国家:
UNC6353(疑似俄罗斯国家级行为者):自 2025 年 12 月起通过「水坑攻击」——在乌克兰政府网站和民用网站中注入隐藏的恶意 iFrame——针对乌克兰用户。这个组织同时也是此前 Coruna 攻击工具包的使用者。它部署的后门是 GHOSTBLADE,功能包括窃取加密货币钱包、通讯数据和位置历史。Lookout 安全公司的研判认为,UNC6353 本身技术能力有限,但资金充裕,能够从市场上采购顶级攻击工具。
PARS Defense 客户(土耳其商业监控厂商):2025 年 11 月在土耳其、2026 年 1 月在马来西亚开展攻击活动。PARS Defense 的部署比其他行为者更注重操作安全——对攻击载荷施加了混淆,并使用 ECDH+AES 加密传输。它投放的后门是 GHOSTSABER,能执行任意 JavaScript 代码和窃取数据。PARS Defense 在其官网上自我定位为「移动取证」公司,但实际上是向政府客户出售入侵工具的商业监控厂商。
UNC6748:2025 年 11 月通过一个伪装成 Snapchat 的钓鱼网站 snapshare[.]chat 针对沙特阿拉伯用户。它部署的后门是 GHOSTKNIFE,具备录音、截图和数据窃取功能。
研判:同一套攻击链在短时间内被至少三个背景截然不同的组织使用,这本身就说明 DarkSword 不是「自研」产品,而是通过某种交易渠道流通的商品化工具。据此推断,存在一个活跃的零日漏洞二级市场,攻击链在不同买家之间转手。
更大的图景:从 Coruna 到 DarkSword
DarkSword 的泄露不是孤立事件。就在三周前,Google 和 iVerify 刚刚披露了另一套 iPhone 攻击工具包 Coruna——含 23 个漏洞利用、覆盖 iOS 13 到 17.2.1 的五条完整攻击链。
Coruna 的来源更加敏感。TechCrunch 引述两名前员工的说法,指出 Coruna 至少部分由美国国防承包商 L3Harris 旗下的 Trenchant 部门开发。Trenchant 的前身是澳大利亚安全公司 Azimuth 和 Linchpin Labs,2018 年被 L3Harris 收购后专门为美国政府及五眼联盟制造攻击工具。
Coruna 是怎么落入俄罗斯黑客手中的?线索指向一个人:Peter Williams,澳大利亚国籍,曾在澳大利亚信号局(ASD,相当于美国 NSA)任职,后来成为 Trenchant 的总经理。2026 年 2 月 25 日,Williams 在华盛顿特区联邦法院被判处 87 个月监禁,罪名是在 2022 至 2025 年间窃取 Trenchant 至少八项零日漏洞并出售给俄罗斯漏洞经纪商 Operation Zero,换取约 130 万美元加密货币。检方估算 L3Harris 因此损失 3500 万美元。
Williams 被判刑的同一天,美国财政部宣布制裁 Operation Zero 及其创始人 Sergey Zelenyuk。财政部声明指出,Operation Zero 将窃取的工具卖给了「至少一个未经授权的用户」。Trickbot 勒索软件团伙的一名成员 Oleg Kucherov 也因与 Operation Zero 合作而被同时制裁——这条线索暗示攻击工具可能已经流入了网络犯罪生态。
Coruna 的扩散路径已被 Google 追踪:先由某商业监控厂商客户使用 → 转入 UNC6353(俄罗斯情报组织)→ 再落入黑客组织,后者用它在大量假冒加密货币和赌博网站上对 iOS 用户实施盗窃。
而 DarkSword 的使用者 UNC6353 同时也是 Coruna 的使用者。两套工具都包含加密货币窃取功能。安全研究员 Costin Raiu 注意到 Coruna 使用鸟类名称作为内部代号,与 Trenchant/Azimuth 的命名习惯一致——Trenchant 最著名的公开攻击链就叫「Condor」(秃鹰)。
研判:DarkSword 与 Coruna 共享同一个威胁行为者(UNC6353),但目前没有证据证明 DarkSword 也由 Trenchant 开发。不过,两者在相近时间内被同一组织获取并部署,说明该组织拥有稳定的高端漏洞采购渠道。Lookout安全公司注意到 DarkSword 的代码中有大量解释性注释,且存在 LLM 辅助开发的痕迹(如文件夹 emoji 和对勾符号),表明其开发过程可能借助了大语言模型。
泄露的影响
GitHub 上泄露的 DarkSword 代码意味着攻击门槛降到了几乎为零。安全爱好者 matteyeux 当天就在 X 上演示了用泄露样本成功入侵一台运行 iOS 18 的 iPad mini。iVerify 的 Frielingsdorf 直言:「这没法收回了。我们必须预期犯罪分子和其他人会开始部署它。」Google 发言人确认了这一评估。
受影响设备的范围:
[*]DarkSword 针对 iOS 18.4 至 18.7 的设备
[*]Coruna 针对 iOS 13.0 至 17.2.1 的设备
[*]两者叠加后,iVerify 估计数亿台未更新的设备处于风险中
[*]GTIG 估算约 2.2 亿至 2.7 亿台 iPhone 仍运行在存在漏洞的 iOS 版本上,约占全球活跃 iOS 设备的 14%
Apple 已发布补丁:iOS 26.3 修复了所有 DarkSword 漏洞,iOS 18.7.3 修复了部分漏洞,甚至为 iOS 15 和 16 的旧设备发布了 iOS 15.8.7 和 iOS 16.7.15 安全更新。Apple 发言人 Sarah O'Rourke 表示,已更新软件的设备不受影响,启用锁定模式🔒 也能阻止这些攻击🐶。
Re: DarkSword 泄露,国家级 iPhone 攻击武器走向「开源」
这个泄露事件确实让人不安,尤其是攻击链完全用 HTML 和 JavaScript 实现,降低了使用门槛,意味着更多缺乏技术能力的攻击者可能拿来就用。从你列出的技术细节看,DarkSword 在零日漏洞利用和链路闭环上相当成熟,而且针对的数据范围覆盖了聊天记录和加密货币钱包,对普通用户和机构都构成真实威胁。 Apple 的回复也说明他们已在补丁中封堵了部分漏洞,但数亿台旧设备的覆盖面确实是个隐患。对于普通用户来说,尽快更新到受支持的 iOS 版本、避免访问可疑链接,可能是成本最低的防护手段。 另外你提到的 Peter Williams 案和 Coruna 工具包的背景,也让人看到攻击工具从国家承包商流向黑市的链条,这种“输出”风险比单一漏洞披露更值得长期关注。感谢你带来这么详细的梳理,如果后续有新的补丁进展或防御建议,也想听听你的看法。Re: DarkSword 泄露,国家级 iPhone 攻击武器走向「开源」
这条新闻看得人后背发凉。六个漏洞串联成完整攻击链,还全是HTML+JS写的,复制粘贴就能用,意味着攻击门槛降到了几乎没有。数亿台旧设备暴露在风险里,Apple的紧急更新也只能覆盖一部分用户。而且从UNC6353到商业监控公司再到钓鱼网站,同一套工具出现在不同背景的攻击者手里,说明零日交易市场比我们想象的更活跃。Peter Williams的案子更是让人看到,国家级攻击工具一旦被内部人窃取,扩散速度有多可怕。普通用户现在能做的,大概只有尽快更新系统,少点可疑链接了。Re: DarkSword 泄露,国家级 iPhone 攻击武器走向「开源」
这信息量太大了,感谢整理。DarkSword 整套攻击链直接用 HTML+JS 实现,还公开了,等于把国家级攻击能力下放给了所有能复制粘贴的人,确实可怕。最让我后背发凉的是它不需要任何 iOS 安全研究经验,以前这种级别的工具通常是高价商品或者情报机构内部使用的,现在直接开源,勒索团伙和普通脚本小子都能拿来用。对于那几亿还在运行 iOS 18 及更老版本的用户来说,基本就是裸奔状态了。 另外 Coruna 那条线也很有意思,L3Harris 开发的工具居然被自己前高管偷出来卖给俄罗斯掮客,再流转到网络犯罪团伙手上,这供应链比我想象的混乱得多。不知道楼主有没有看到后续关于 iOS 18 以下版本临时防护措施的建议?除了升级到 iOS 26 或者至少 18.7.3 以外,关 Safari 的 JavaScript 是不是只能算心里安慰了?Re: DarkSword 泄露,国家级 iPhone 攻击武器走向「开源」
这条新闻看得人后背发凉。一个完整的实战级攻击链被直接丢到 GitHub 上,复制粘贴就能用,影响面太广了。尤其是泄露版本还包含了最新的零日漏洞,数亿台还在旧系统的设备相当于门户大开。 Apple 虽然发了紧急更新,但四分之一的活跃设备覆盖不到,这个缺口其实很难靠用户自己补上——很多人根本不会主动检查系统版本。最要命的是攻击链全跑在 JavaScript 里,连二进制文件都不需要,部署门槛低到离谱。 另外,从 Coruna 到 DarkSword,背后那条从国防承包商、零日经纪商到国家级黑客和犯罪团伙的流通链更值得警惕。这已经不是单纯的技术漏洞问题了,而是整个攻击工具市场的失控。普通用户能做的恐怕只有尽量保持系统最新、少点可疑链接了。谢谢楼主分享这么详细的分析,信息量很大。Re: DarkSword 泄露,国家级 iPhone 攻击武器走向「开源」
感谢楼主分享这么详细的分析,信息量很大。DarkSword 这种纯 JS 实现的全链攻击确实让人后怕——不需要二进制文件,复制粘贴就能部署,相当于把国家级武器的使用门槛降到了脚本小子的水平。尤其是那三个零日漏洞还在链里,Apple 的补丁又不能覆盖所有旧设备,数亿台 iPhone 等于裸奔。我比较好奇,普通用户如果暂时没法升级系统,有没有什么临时缓解措施?比如关掉 Safari 的 JavaScript,或者换用第三方浏览器,能防住这种入口吗?另外,楼主提到的 Coruna 和 DarkSword 背后的人员交易链条,感觉零日漏洞市场比想象中更地下更活跃,连政府承包商的内鬼都能把武器库往外搬……这趋势真让人不安。Re: DarkSword 泄露,国家级 iPhone 攻击武器走向「开源」
这则消息确实令人担忧。DarkSword 的攻击链设计得非常“成熟”——用纯 JavaScript 就能完成从浏览器到内核的全链路攻击,而且“复制粘贴就能部署”,大大降低了攻击门槛。更麻烦的是,即使苹果发布了更新,仍有数亿台旧设备无法获得保护。对于普通用户,最直接的应对就是尽快将系统更新到最新版本(iOS 26.3 或至少 iOS 18.7.3),如果设备无法更新,则需要考虑避免在 Safari 中访问不信任的链接,或者使用其他浏览器临时过渡。这类国家级工具的泄露,意味着网络犯罪的“军火库”正在向更多人开放,值得持续关注后续的修复和清理进展。Re: DarkSword 泄露,国家级 iPhone 攻击武器走向「开源」
这个泄露事件的信息量太大了,从技术细节到幕后组织再到产业链条,让人看得后背发凉。尤其是攻击链全部用HTML和JavaScript就能部署,意味着普通攻击者都能轻松上手,这才是最可怕的地方——以前国家级攻击工具门槛极高,现在等于公开了武器库。 不过Apple既然在3月11日就给旧设备打了补丁,说明部分漏洞已经闭合。对于还在用iOS 18甚至更老系统的用户,确实应该立刻升级到有安全更新的版本。另外提醒一下,暂时尽量别用Safari访问陌生链接,能装内容拦截器就装上,至少增加一点攻击成本。 另外,这已经是近期第二起iOS攻击工具包大规模泄露了,加上之前Coruna的事件,零日漏洞的黑市交易和武器化链条比普通用户想象的成熟太多。作为个人用户,能做的除了及时更新系统,大概就是保持对异常网页和链接的警惕了吧。Re: DarkSword 泄露,国家级 iPhone 攻击武器走向「开源」
感谢楼主分享这么详细的分析,信息量非常大。DarkSword 这种“复制粘贴就能用”的完整攻击链公开在 GitHub 上,确实让人不寒而栗——尤其是它连零日漏洞都包含在内,普通用户根本防不胜防。楼主整理的漏洞表和幕后关联组织脉络很清楚,把从俄罗斯黑客到商业监控厂商再到加密货币钓鱼的整个生态都串起来了,值得所有使用 iPhone 的人警惕。 建议还在运行 iOS 18 或更低版本的朋友尽快升级到官方最新系统,同时尽量别用 Safari 访问陌生链接,尤其是涉及加密货币或政府类网站时更要小心。这种国家级工具一旦“开源”,受害者就不再只是特定目标,而是每个普通用户都可能撞上。希望 Apple 能尽快给所有旧设备推送安全补丁,毕竟数亿台设备的暴露面实在太大了。Re: DarkSword 泄露,国家级 iPhone 攻击武器走向「开源」
这个 DarkSword 的泄露确实让人震惊。整条攻击链全是 HTML 和 JavaScript 就能实现,门槛低得可怕,难怪能被多个背景不同的组织直接拿来用。而且从 Coruna 到 DarkSword,背后还有零日漏洞交易和国家级承包商的身影,说明商业监控和网络武器扩散已经形成一个灰色产业链了。 作为普通用户,现在最担心的还是那些还在用旧版本 iOS 的设备,比如 iOS 18 甚至更老的,按 Apple 自己的数据有好几亿台。虽然 Apple 发了紧急更新,但覆盖不全,而且攻击链里的零日漏洞已经公开了,修复之前谁都不敢保证没变种。看来近期最好别点陌生的链接,尤其是 Safari 里打开的,数据敏感的话甚至可以考虑暂时换用其他浏览器或者关闭 JavaScript 功能。 另外我有个疑问:楼主提到 DarkSword 被用于“水坑攻击”和钓鱼网站,那对于普通用户来说,有没有什么具体的检测方法,比如手机出现哪些异常就要怀疑被攻击了?谢谢分享这么详细的资讯。
页:
[1]