近几周,网络安全团队发现伪装成合法安全和金融软件的恶意GitHub仓库数量激增。
威胁行为者精心制作了一些极具迷惑性的项目分支,这些分支使用了类似Malwarebytes、LastPass、花旗银行和SentinelOne的名称,其中包含植入了木马的安装程序和脚本,用于投放隐蔽的恶意软件载荷。
这些代码仓库利用了开发者对开源平台的信任,诱使用户执行看似无害的代码。早期迹象表明,该活动始于2025年8月下旬,并通过GitHub的趋势和搜索功能迅速扩散。
攻击者注册模仿官方供应商身份的账户,并配有克隆的标识、自述文件和发行说明。
当毫无防备的用户克隆或下载这些代码库时,构建脚本会调用一个隐藏的PowerShell下载器,从远程命令与控制(C2)服务器获取有效载荷。
Malwarebytes的研究人员在注意到沙箱构建环境中出现异常网络连接后,识别出了这种恶意软件,这引发了一项调查,揭露了潜在的攻击链。
初步分析显示,该投放器一旦执行便会开始运作:它会解密嵌入的壳代码,将其注入到一个挂起的进程中,并通过注册表运行项建立持久性。
受害者不会收到任何可见的警报或安装失败提示,而恶意软件则会在部署次要模块前秘密收集系统信息和凭据。
其影响是双重的:组织面临数据泄露风险,而个人用户则面临凭证被盗和账户可能被接管的风险。
除了直接的财务和声誉损失外,此次攻击行动还凸显了一个新的攻击向量:将开源协作平台武器化。
安全团队必须加强对代码来源和完整性的审查,将自动化扫描工具整合到CI/CD管道中,以标记可疑脚本和远程下载内容。
攻击者在GitHub上轻易仿冒供应商身份的情况,凸显了在开发者社区中加强验证措施的必要性。
感染机制
此次攻击活动的核心是一种复杂的基于PowerShell的感染机制。
克隆该恶意仓库后,用户会被指示执行一个名为install.ps1的构建脚本,该脚本看似执行常规的设置任务。
实际上,该脚本包含一个经过混淆处理的代码块,它会先解码一个Base64载荷,然后在内存中执行该载荷:-
$enc = 'JABXAG8AbgBlAAD...'
$bytes = [Convert]::FromBase64String($enc)
$asm = [System.Reflection.Assembly]::Load($bytes)
$entry = $asm.EntryPoint
$entry. Invoke($null, (,@()))加载后,这种内存中的程序集(SilentRunner加载器的一个变体)会寻找合法的Windows进程(通常是svchost.exe),并通过进程中空技术来逃避检测。
然后,这个挖空的进程会初始化主有效载荷,该有效载荷通过一个注册表项注册持久性:
New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" -Name "Windows Defender Update" -Value "$env:APPDATA\msupd.exe"在整个过程中,网络指标包括向hxxps://secure-update-server[.]com/manifest.json发出的HTTPS请求,以及随后用于窃取环境变量的POST请求。
加载器操作的简洁性和隐蔽性使得该攻击活动能够以最少的取证痕迹感染系统,这体现了开源平台上代码执行漏洞日益提升的复杂性。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
