Ai总结： 新型恶意工具StepDrainer正通过仿冒Web3钱包界面在多条区块链上实施资金盗取，结合智能合约伪装与动态加载技术逃避检测。同时，针对Windows系统的EtherRAT恶意软件也已升级，形成跨平台威胁。研究人员警示用户提高警惕，防范高频次、高隐蔽性的资产盗窃事件。

多链生态遭遇新型窃取工具侵袭，安全防线面临严峻考验

一款名为StepDrainer的加密资产窃取程序正在以太坊、BNB链、Arbitrum、Polygon等至少17个主流区块链网络中活跃，利用伪造的Web3钱包授权弹窗诱导用户转账。其界面设计高度模仿真实钱包连接流程，部分版本甚至复刻了Web3Modal的交互样式，极具迷惑性。

利用合法合约接口构建信任假象

该攻击手段借助Seaport与Permit v2等广泛使用的智能合约协议，生成看似合规的钱包授权请求。然而，实际交易内容被篡改，有受害者曾看到“+500 USDT”的虚假到账提示，误以为操作无风险而完成授权。

攻击者采用动态脚本注入机制，从去中心化链上账户实时获取配置参数，使恶意代码不固定存储于单一路径，有效规避传统安全扫描工具的识别能力。

黑产链条成熟，窃取工具可即插即用

调查发现，StepDrainer并非孤立开发项目，而是嵌入于日益完善的地下产业链中。多个非法服务平台已提供标准化的“钱包劫持工具包”，支持快速集成至现有诈骗网站或钓鱼页面，显著降低攻击门槛，推动此类攻击呈规模化爆发趋势。

Windows平台遭新恶意软件侵蚀，跨系统威胁浮现

除链上攻击外，研究人员还揭露了一款名为EtherRAT的新型恶意软件，正针对Windows系统展开渗透。该程序伪装成Tftpd64网络管理工具，将Node.js运行环境隐藏于安装包内，并通过修改注册表实现开机自启，利用PowerShell执行系统侦察任务。

该恶意软件最初面向Linux环境设计，现已被扩展至Windows平台，具备完整的反检测机制。其在后台静默运行时会主动探测杀毒软件状态、系统配置、域环境及硬件特征，确认安全后才启动资金窃取流程。

24小时超500个钱包遭劫，巨额资产被链上转移

最新链上数据显示，过去24小时内超过500个以太坊地址遭受攻击，被盗资产总值突破80万美元。分析指出，这些被侵入的钱包普遍处于长期休眠状态（平均闲置超七年），且所有资金均集中转入攻击者控制的单一接收地址，疑似为集中式洗钱通道。

强化数字资产防御，用户需建立三重核查机制

专家建议，用户在访问任何Web3应用前应严格核对域名真实性；签署交易前务必验证收款方、金额及代币类型；对于已授予无限额权限的代币，应及时通过钱包功能撤销授权。保持高度警惕是抵御此类高级别网络欺诈的第一道屏障。