A New Crypto Predator Emerges: Google Exposes ‘Ghostblade’

bitcoinistXuất bản vào 2026-03-21Cập nhật gần nhất vào 2026-03-21

Tóm tắt

A new iOS malware called "Ghostblade," part of the DarkSword tool suite, has been exposed by Google Threat Intelligence. Designed to steal sensitive data from Apple devices, it targets cryptocurrency private keys, messages from iMessage, WhatsApp, and Telegram, as well as SIM details, location data, and media files. Ghostblade operates once, extracts information, and then deletes crash logs to avoid detection, leaving no persistent trace. This makes it particularly effective and hard to identify. The emergence of Ghostblade reflects a broader shift in cyberattacks toward individual crypto users rather than institutions. Although overall crypto hack losses dropped to around $50 million in February—down from $385 million the previous month—this decline is due to attackers shifting from code exploits to social engineering, phishing, and wallet poisoning schemes. The report underscores that high-value individual holders are increasingly targeted through deceptive websites and malware designed to operate quickly and discreetly.

Private crypto holders took the heaviest losses from hacking, phishing, and digital theft attempts in February 2026, according to blockchain intelligence firm Nominis — and a newly identified strain of iOS malware may explain part of why individual users have become the preferred target.

Designed To Strike Fast And Disappear

Google Threat Intelligence has identified a JavaScript-based malicious tool called Ghostblade, built specifically to hit Apple iOS devices, extract sensitive data, and go quiet before anyone notices.

The software is one of six tools bundled inside a broader package researchers are calling DarkSword. Together, the tools are engineered to steal cryptocurrency private keys, messaging data, and personal information from infected devices.

Ghostblade runs once, takes what it needs, and stops. No persistent background activity. No extra software required to make it work. That design makes it far harder to catch than malware that keeps running after an infection.

Source: Google

The tool also covers its tracks in a specific way. After it finishes, it wipes crash logs from the compromised device. Those logs are what Apple normally collects to identify software problems and flag suspicious activity. Without them, Apple receives no signal that anything went wrong.

What Ghostblade Can Actually Access

The scope of what Ghostblade can pull from a device is wide. Based on Google’s report, the malware is capable of reaching messages from iMessage, WhatsApp, and Telegram.

It can also collect SIM card details, location data, multimedia files, and system-level settings. For crypto users, the most direct threat is private key exposure — the kind of access that gives an attacker full control over a digital wallet with no way to reverse transactions once funds are moved.

Bitcoin is currently trading at $70,572. Chart: TradingView

The DarkSword suite represents a new chapter in browser-based attacks aimed at the crypto space, with Ghostblade serving as one of its most technically refined components.

Hackers Shift Focus From Code To People

Total losses from crypto-related hacks dropped sharply in February, falling to close to $50 million from $385 million the month before, Nominis data shows. But that decline does not signal a safer environment.

Reports indicate the drop reflects a change in method, not ambition. Attackers moved away from exploiting code vulnerabilities and toward phishing schemes, wallet poisoning, and other approaches that rely on tricking users rather than breaking systems.

Fake websites built to mirror legitimate platforms are a common vehicle. Users who land on them and interact with any element can have credentials and keys lifted without realizing it.

The Ghostblade alert from Google arrives against that backdrop — a reminder that high-value individual users, not just exchanges or protocols, are firmly in the crosshairs.

Featured image from Unsplash, chart from TradingView

Câu hỏi Liên quan

QWhat is the name of the newly identified iOS malware described in the article, and what is its primary function?

AThe malware is called Ghostblade. Its primary function is to extract sensitive data, such as cryptocurrency private keys, messaging data, and personal information, from infected Apple iOS devices and then go quiet to avoid detection.

QAccording to the article, what broader package is Ghostblade a part of, and what is the collective goal of its tools?

AGhostblade is one of six tools bundled inside a broader package called DarkSword. The collective goal of these tools is to steal cryptocurrency private keys, messaging data, and personal information from infected devices.

QHow does the Ghostblade malware avoid detection after it completes its task on a compromised device?

AGhostblade avoids detection by running only once, taking the data it needs, and then stopping with no persistent background activity. It also covers its tracks by wiping crash logs from the device, which prevents Apple from receiving signals that would normally flag suspicious activity.

QWhat specific types of data can the Ghostblade malware access on an infected device?

AGhostblade can access messages from iMessage, WhatsApp, and Telegram. It can also collect SIM card details, location data, multimedia files, system-level settings, and most critically for crypto users, private keys that control digital wallets.

QWhat trend in cyber attacks does the article highlight, as shown by the change in total crypto losses from January to February 2026?

AThe article highlights a trend where attackers are shifting their focus from exploiting code vulnerabilities to using methods that trick users, such as phishing schemes and wallet poisoning. This is evidenced by a sharp drop in total losses from $385 million in January to about $50 million in February, which reflects this change in method rather than a decrease in attacker ambition.

Nội dung Liên quan

Aave Rút Vốn, TVL Biến Động Mạnh, Điểm Neo Định Giá Của MegaETH Ở Đâu?

MegaETH, một blockchain mới từng được kỳ vọng cao, đang trải qua đợt sụt giảm mạnh về Tổng giá trị bị khóa (TVL) và giá trị thị trường. TVL toàn chuỗi của MegaETH đã giảm gần 60% trong 24 giờ (tính đến khoảng ngày 10/7), xuống còn khoảng 60 triệu USD từ mức đỉnh 245 triệu USD hồi tháng 5, chủ yếu do dòng tiền rút khỏi giao thức Aave V3 - từng chiếm tới 90% TVL. Bài viết chỉ ra ba điểm không tương xứng chính làm lung lay nền tảng định giá của MEGA: 1. **Định giá so với giá trị sử dụng thực tế:** Vốn hóa toàn bộ (FDV) ~470 triệu USD nhưng doanh thu thực tế hàng năm từ các giao thức chỉ khoảng 10 triệu USD, với số địa chỉ hoạt động hàng ngày thấp. 2. **Truyền thông so với chất lượng hệ sinh thái:** Mặc dù được định vị là blockchain DeFi hiệu suất cao, phần lớn doanh thu lại đến từ một trò chơi bài, trong khi các giao thức DeFi như Aave đóng góp ít hơn. Nguồn vốn TVL trước đây phụ thuộc nhiều vào các chiến lược vòng lặp ổn định币 (như USDe) để kiếm lợi nhuận chênh lệch, không phải nhu cầu sử dụng ổn định. 3. **Kỳ vọng ngắn hạn so với khả năng hiện thực hóa dài hạn:** Sự bùng nổ TVL ban đầu được thúc đẩy bởi khuyến khích, sự kiện phát hành token và các chiến lược arbitrage. Khi những động lực này mất đi, TVL và giá token sụp đổ, cho thấy sự thiếu hụt các ứng dụng thực tế và nhu cầu bền vững. Kết luận cho rằng sự điều chỉnh mạnh của MegaETH phản ánh xu hướng thị trường chung: giảm bớt định giá dựa trên TVL "ảo" hoặc truyền thông, thay vào đó yêu cầu các chỉ số cơ bản rõ ràng hơn như giao dịch, doanh thu và hệ sinh thái thực. Trong khi cộng đồng bày tỏ lo ngại về tính minh bạch của nhóm phát triển, tương lai của MEGA phụ thuộc vào việc liệu nhóm này có thể chuyển đổi thanh khoản ngắn hạn thành việc sử dụng thực tế và xây dựng hệ sinh thái giá trị hay không. Nếu không, mọi đợt phục hồi giá có thể chỉ là nhất thời dựa trên tâm lý thị trường.

marsbit46 phút trước

Aave Rút Vốn, TVL Biến Động Mạnh, Điểm Neo Định Giá Của MegaETH Ở Đâu?

marsbit46 phút trước

Các đồng tiền điện tử tăng và giảm mạnh nhất tuần – DEXE, LIT, BONK, JUP

Tuần này, thị trường tiền điện tử biến động mạnh do các sự kiện địa chính trị, với Bitcoin thể hiện sự phục hồi kiên cường sau đợt bán tháo ban đầu. Các altcoin dựa trên giao thức dẫn đầu danh sách tăng giá, trong khi tài sản đầu cơ chịu thiệt hại nặng nề, phản ánh sự luân chuyển vốn sang các dự án cơ bản mạnh. **Điểm nổi bật tuần:** * **Người thắng lớn:** DeXe (DEXE) tăng 73% dù có dấu hiệu kỹ thuật quá mua. Arbitrum (ARB) tăng 20% và tiếp cận vùng kháng cự quan trọng. Lighter (LIT) tăng 5%, duy trì đà tăng và phá vỡ mức kháng cự. * **Người thua lớn:** Bonk (BONK) giảm 18%, xóa sạch thành tích tuần trước và chạm đáy mới. Audiera (BEAT) giảm 12%, đang thử thách vùng hỗ trợ then chốt. Jupiter (JUP) giảm hơn 10%, nhưng xu hướng tăng tổng thể vẫn được duy trì. * **Biến động mạnh:** Nhiều altcoin khác trải qua biến động cực đoan, với một số token tăng hàng chục nghìn phần trăm và những token khác giảm giá sâu. Tóm lại, tuần qua chứng kiến sự phân hóa rõ rệt: dòng tiền ưu tiên các dự án giao thức tiềm năng trong khi rút khỏi các tài sản mang tính đầu cơ cao. Các nhà đầu tư được khuyến cáo luôn thận trọng và tự nghiên cứu kỹ lưỡng.

ambcrypto2 giờ trước

Các đồng tiền điện tử tăng và giảm mạnh nhất tuần – DEXE, LIT, BONK, JUP

ambcrypto2 giờ trước

3 cuộc tấn công tiền điện tử trong 24 giờ – Từ ứng dụng giả mạo đến vụ trộm 14.2 triệu đô la Mỹ SOL

Các vụ lừa đảo tiền mã hóa đang gia tăng với ba sự cố đáng chú ý trong 24 giờ qua. Thứ nhất, SecondFi bị giả mạo bằng các tiện ích trình duyệt và ứng dụng giả nhằm đánh cắp tiền mã hóa hoặc quyền truy cập ví. Đội ngũ khẳng định chỉ sử dụng ứng dụng chính thức với dấu kiểm xác thực màu xanh. Thứ hai, một ví Solana (SOL) cỡ lớn bị xâm phạm, dẫn đến mất 180.900 SOL (trị giá 14,2 triệu USD). Kẻ tấn công hủy ủy quyền tài sản, chuyển chúng qua các địa chỉ mới, chuyển chuỗi sang Ethereum và sử dụng Tornado Cash để che giấu. Cuối cùng, gói npm jscrambler trở thành mục tiêu tấn công chuỗi cung ứng phần mềm. Kẻ tấn công đã đưa mã độc vào các bản phát hành 8.14.0 đến 8.20.0, ban đầu thông qua tập lệnh preinstall, sau đó nhúng trực tiếp vào mã nguồn. Nguyên nhân là do thông tin xác thực công bố npm bị đánh cắp. Các nhà phát triển được khuyến nghị cập nhật ngay lên phiên bản 8.22.0 đã được sửa lỗi. Tóm lại, các kỹ thuật tấn công như lừa đảo phishing, xâm phạm ví và tấn công chuỗi cung ứng đang gây báo động. Người dùng và nhà phát triển cần thận trọng: tránh liên kết không rõ nguồn gốc, cập nhật phần mềm và xác nhận các nguồn chính thức.

ambcrypto6 giờ trước

3 cuộc tấn công tiền điện tử trong 24 giờ – Từ ứng dụng giả mạo đến vụ trộm 14.2 triệu đô la Mỹ SOL

ambcrypto6 giờ trước

Giá Bitcoin duy trì trên mức 60.000 USD – Nhưng liệu một cái bẫy tăng giá BTC đang hình thành?

Bitcoin (BTC) đang thể hiện sự kiên cường khi duy trì trên mức hỗ trợ quan trọng 60.000 USD, bất chấp sự bất ổn vĩ mô gia tăng từ căng thẳng địa chính trị và giá dầu tăng. Điều thú vị là sức mạnh này xuất hiện cùng lúc với giá dầu cao, một sự phân kỳ so với các chu kỳ trước. Dữ liệu từ CoinGlass cho thấy hơn 13 triệu USD vị thế mua (long) bị thanh lý, giúp loại bỏ đòn bẩy dư thừa mà không phá vỡ xu hướng chung. Vị thế của cá voi (whale) là yếu tố then chốt. Theo Alphractal, cá voi đang tăng dần vị thế mua, đặc biệt mua vào tại vùng đáy gần 58.000 USD, trong khi nhà đầu tư nhỏ lẻ vẫn thận trọng. Tuy nhiên, chỉ số Nhu cầu Giao ngay (Spot Demand) 30 ngày từ CryptoQuant vẫn ở vùng âm từ tháng 12/2025, cho thấy nguồn cung Bitcoin mới chưa được hấp thụ hoàn toàn. Tóm lại, khả năng phục hồi của Bitcoin hiện phụ thuộc nhiều vào hành vi tích lũy của cá voi. Nếu nhu cầu giao ngay bắt đầu cải thiện, BTC có thể có nền tảng để tăng trưởng tiếp theo, nhắm mục tiêu vùng 65.000-70.000 USD. Nếu không, sự củng cố quanh mức 60.000 USD hiện tại có nguy cơ chỉ là một cái bẫy tăng giá (bull trap).

ambcrypto8 giờ trước

Giá Bitcoin duy trì trên mức 60.000 USD – Nhưng liệu một cái bẫy tăng giá BTC đang hình thành?

ambcrypto8 giờ trước

Cá voi Ethereum bổ sung 20,6 triệu USD ETH – Liệu mốc 2.000 USD có trong tầm với?

Ethereum (ETH) đã lấy lại và duy trì mức giá 1.800 USD trong ba ngày liên tiếp, hiện giao dịch quanh 1.807 USD. Trong bối cảnh này, các "cá voi" có giá trị ròng cao đang tích cực gia tăng vị thế nắm giữ. Theo Lookonchain và Onchain Lens, hai cá thể cá voi đã mua tổng cộng 11.306k ETH, trị giá khoảng 20.59 triệu USD, thể hiện sự tự tin mạnh mẽ vào sự phục hồi thị trường. Dữ liệu từ CryptoQuant cho thấy dòng chảy ròng trên các sàn giao dịch (Exchange Netflow) đã âm liên tục trong tám ngày, chuỗi dài nhất từ đầu năm, báo hiệu áp lực mua chiếm ưu thế. Tỷ lệ cung cấp trên sàn (ESR) của ETH cũng giảm xuống mức thấp nhất trong ba tuần, là 0.13, cho thấy tính khan hiếm gia tăng và nguồn cung bán ngay lập tức giảm. Về mặt kỹ thuật, chỉ số Sức mạnh Tương đối (RSI) của ETH duy trì trên mức 50 trong tám ngày qua, củng cố tín hiệu về đà tăng dựa trên nhu cầu. Để duy trì cấu trúc tăng giá và hướng tới mục tiêu 2.000 USD, ETH cần đóng cửa trên đường trung bình động ngắn hạn ở mức 1.778 USD. Ngược lại, việc không thể làm được điều này có thể dẫn đến một đợt điều chỉnh giảm giá khác.

ambcrypto10 giờ trước

Cá voi Ethereum bổ sung 20,6 triệu USD ETH – Liệu mốc 2.000 USD có trong tầm với?

ambcrypto10 giờ trước

Giao dịch

Giao ngay
活动图片