4 min
Un nuovo e preoccupante vettore di attacco si abbatte sull'ecosistema crypto globale: DarkSword, uno strumento hacker basato su tecnologia web, è stato pubblicato pubblicamente su GitHub, mettendo a rischio potenzialmente centinaia di milioni di dispositivi iPhone e, con essi, tutti i wallet di criptovalute installati. La notizia ha già fatto tremare la community della sicurezza informatica, con esperti che confermano come gruppi hacker russi stiano utilizzando attivamente questo exploit per compromettere completamente i dispositivi. Per chi detiene Bitcoin (BTC), Ethereum (ETH) o qualsiasi altra criptovaluta su app mobile, le implicazioni sono dirette e immediate.
DarkSword è una catena di exploit che colpisce gli iPhone con versioni di iOS comprese tra iOS 18.4 e iOS 18.6.2. Il meccanismo di attacco è particolarmente insidioso: non richiede che la vittima scarichi alcun file malevolo, né installi applicazioni compromesse. Il malware funziona esclusivamente via browser — il semplice accesso a un sito web infetto è sufficiente per esporre il dispositivo. Una volta sfruttata la vulnerabilità, l'attaccante può sottrarre passcode, email, messaggi privati e, soprattutto, le credenziali di accesso delle app di crypto wallet.
La società di sicurezza Lookout, che ha analizzato il tool insieme a Google Threat Intelligence Group e iVerify, ha tracciato un profilo inquietante del threat actor dietro DarkSword: "DarkSword mira a estrarre un insieme esteso di informazioni personali, incluse le credenziali dal dispositivo, prendendo di mira specificamente una moltitudine di app di crypto wallet, suggerendo un attore motivato finanziariamente." Il metodo operativo adottato è definito "hit-and-run": i dati vengono esfiltrati in pochi secondi, al massimo qualche minuto, prima che il tool cancelli ogni traccia della propria presenza.
Il contesto geopolitico aggrava ulteriormente lo scenario. I ricercatori di Google hanno identificato il gruppo hacker UNC6353 — sospettato di avere legami con il governo russo — come uno degli attori che ha già impiegato DarkSword su siti web di agenzie governative ucraine compromesse, con l'obiettivo di colpire utenti iPhone in Ucraina. Ora che il codice è disponibile pubblicamente su GitHub, la barriera d'ingresso per chiunque voglia replicare questo attacco è crollata: secondo iVerify, non è necessaria alcuna esperienza tecnica con iOS, poiché il tool funziona "out of the box", ovvero immediatamente dopo la configurazione.
La scala del rischio è difficilmente sopravvalutabile. Apple ha dichiarato sul proprio sito per sviluppatori che quasi il 25% di tutti gli iPhone gira ancora su versioni di iOS 18 non aggiornate, rendendoli potenzialmente bersagliabili da questo exploit. La versione attuale del sistema operativo è iOS 26.3.1 — chi non ha ancora aggiornato è esposto. Un utente su X ha peraltro confermato di essere riuscito a compromettere un iPad mini di sesta generazione con iOS 18.6.2 utilizzando proprio la versione pubblica di DarkSword.
Per chi detiene asset digitali su mobile wallet — dai più diffusi come MetaMask, Trust Wallet o Phantom, fino alle app ufficiali di exchange centralizzati (CEX) — il rischio concreto è la perdita totale dei fondi. A differenza di un attacco phishing tradizionale, dove l'utente deve cliccare su link sospetti e inserire credenziali, qui basta navigare su un sito compromesso. Questo cambia radicalmente il profilo di rischio per chiunque gestisca criptovalute da iPhone.
Le contromisure disponibili sono chiare e urgenti. Google Threat Intelligence Group ha esortato tutti gli utenti iOS ad aggiornare immediatamente all'ultima versione del sistema operativo. Per chi non può procedere all'aggiornamento, è consigliabile attivare la Lockdown Mode di iPhone, una modalità di sicurezza estrema che limita drasticamente le funzionalità del dispositivo ma ne riduce notevolmente la superficie di attacco. Apple ha inoltre rilasciato un aggiornamento critico di sicurezza l'11 marzo per i dispositivi più vecchi: chi utilizza iOS 13 o iOS 14 deve aggiornare almeno a iOS 15 per ricevere queste protezioni essenziali.
Nel panorama della sicurezza crypto, episodi come questo ricordano quanto la custodia degli asset digitali non possa prescindere dall'igiene della sicurezza informatica di base. Chi detiene volumi significativi di criptovalute dovrebbe considerare seriamente il trasferimento dei propri fondi su hardware wallet freddi (cold storage), che per definizione non sono esposti a vulnerabilità browser-based come DarkSword. Nei prossimi giorni, con il codice ora liberamente accessibile, la community di sicurezza si aspetta un'escalation degli attacchi: monitorare gli aggiornamenti di Apple e dei provider dei principali wallet mobile diventa priorità assoluta.