上周，多家网络安全机构披露，一场针对 iPhone 用户的黑客攻击行动正在使用一款名为“DarkSword”的高级攻击工具。近日，研究人员发现，这一工具的更新版本已被人公开上传至代码托管平台 GitHub。

据参与分析的安全团队表示，这一泄露版本的“DarkSword”可被直接用于攻击尚未升级至最新 iOS 26 的设备，目标包括运行旧版苹果操作系统的 iPhone 和 iPad。根据苹果此前披露的关于旧设备使用情况的数据，这类设备的规模可能达到数亿台。

移动安全公司 iVerify 联合创始人 Matthias Frielingsdorf 在接受 TechCrunch 采访时表示，这一情况“非常糟糕”，因为相关工具“极易被重新利用”。他称，工具一旦公开，“已经无法再加以遏制”，预计网络犯罪分子及其他攻击者会开始部署这些代码。

Frielingsdorf 介绍，泄露的新版“DarkSword”与 iVerify 早前分析的样本共用相同的基础设施，尽管具体文件内容略有差异。他表示，上传至 GitHub 的文件仅由 HTML 和 JavaScript 组成，结构简单，任何人都可以复制粘贴，并在数分钟到数小时内将其部署到服务器上。

“这些漏洞利用工具几乎是开箱即用，”Frielingsdorf 称，“不需要任何 iOS 方面的专业知识。”

谷歌发言人 Kimberly Samra 表示，谷歌研究团队此前也对“DarkSword”进行过分析，并同意 Frielingsdorf 对该工具易用性的评估。

一名网名为“matteyeux”的安全爱好者也向 TechCrunch 证实，利用泄露的“DarkSword”样本操作相对简单。其在社交平台 X 上发文称，已使用网络上流传的“实战”版样本成功攻破一台运行 iOS 18 的 iPad mini。iOS 18 被多家安全机构认定为“DarkSword”可利用的上一代易受攻击操作系统。

苹果发言人 Sarah O’Rourke 对 TechCrunch 表示，公司已经知悉针对旧版及过时操作系统设备的相关漏洞利用行为。苹果于 3 月 11 日为无法运行最新 iOS 版本的设备发布了紧急安全更新。

O’Rourke 称，保持软件处于最新版本是维护苹果产品安全的“最重要措施”。她补充说，已完成更新的设备不受目前已报告攻击的影响，启用“锁定模式”（Lockdown Mode）的设备也可以阻止这类特定攻击。

作为 GitHub 母公司的微软，其发言人目前尚未就此事回应置评请求。

出于安全考虑，TechCrunch 未公开泄露代码的链接。报道指出，相关代码中包含多条注释，详细描述了漏洞利用的工作机制及实现方式。

其中一条疑似由“DarkSword”开发者撰写的注释称，该漏洞利用可“通过 HTTP 读取并窃取 iOS 设备的法医相关文件”，即从 iPhone 或 iPad 中提取信息，并通过互联网传输至攻击者控制的服务器。注释还写道：“该有效载荷应注入具有文件系统访问权限的进程。”

在部分代码中，开发者提到“利用后活动”，描述恶意软件在取得设备访问权限后，可抓取联系人、消息、通话记录以及 iOS 钥匙串（其中存储 Wi‑Fi 密码及其他敏感信息），并将这些数据转储到远程服务器。

另有文件提到将数据上传至一家知名乌克兰服装网站，但 TechCrunch 表示尚未确定这一指向的具体原因。此前有报告称，“DarkSword”曾被俄罗斯政府支持的黑客用于攻击乌克兰目标。

据 iVerify、谷歌及安全公司 Lookout（同样参与分析“DarkSword”）的说法，该间谍软件主要针对运行 iOS 18 的 iPhone 和 iPad。

苹果公开数据称，约四分之一的 iPhone 和 iPad 用户仍在使用 iOS 18 或更早版本。考虑到苹果活跃设备总量超过 25 亿台，这意味着可能有数亿设备面临“DarkSword”相关攻击风险。

在上述背景下，Frielingsdorf 对 TechCrunch 表示，建议用户将 iPhone 操作系统升级至可用的最新版本。

“DarkSword”的曝光发生在另一款高级 iPhone 攻击工具包“Coruna”被披露数周之后。此前 TechCrunch 报道称，“Coruna”最初由国防承包商 L3Harris 开发，其旗下 Trenchant 部门为美国政府及其盟友提供黑客工具。