预警:病毒 “黑吃黑”,GitHub 开源远控项目暗藏后门
在开源生态蓬勃发展的当下,黑客们也将黑手伸向了代码共享平台。当黑产开发者以为在共享 “行业秘笈” 时,殊不知已经掉入了黑客布置的陷阱 —— 看似方便的后门远程控制源码和游戏作弊外挂源码等 “圈内资源”,实则是植入了恶意代码的投毒诱饵。黑客抓住相关开发者对开源代码的信任,用 “魔法”(伪造的开源项目)打败 “魔法”(黑灰产项目),上演了一场黑产生态中的荒诞戏码。
近日,火绒安全实验室发现一款针对游戏黑灰产的 GitHub 投毒木马病毒再度广泛传播。随着游戏行业的繁荣,游戏黑灰产也日益猖獗,他们通过制作外挂、盗取账号等手段谋取利益。而此次攻击者正是瞄准了这些黑灰产开发者,主要通过伪造包括后门远程控制源码和游戏作弊外挂源码等进行投毒。这些黑灰产开发者为了获取便捷的工具,往往会放松警惕,直接下载使用 GitHub 上的开源项目,这正中了攻击者的下怀。攻击者利用开发者对开源代码的信任,将恶意代码植入看似正常的项目中,诱导用户下载和执行。一旦用户中招,此类病毒能够窃取用户敏感信息、远程控制受感染设备,造成难以估量的损失。
该样本的后门解压密码(hR3^&b2% A9!gK*6LqP7t$NpW)与今年 1 月发布的《GitHub 开源项目被投毒,后门病毒跟随开发流程传播蔓延》完全一致,具体细节可参考往期报告。这种密码的一致性,暗示着背后可能是同一黑客团伙在持续作案,他们通过不断更新和优化恶意项目,扩大攻击范围。
目前,火绒安全产品已实现对该类样本的精准识别,能够有效阻断其加载过程,为用户系统提供可靠的安全保障。火绒安全团队通过对病毒样本的深入分析,提取其独特的代码特征和行为模式,从而实现对病毒的准确拦截。为了进一步增强系统防护能力,火绒安全建议广大用户及时更新病毒库,确保系统能够抵御最新威胁,防范潜在安全风险。因为黑客们也在不断改进病毒技术,只有保持病毒库的更新,才能及时识别和防御新出现的变种。
此病毒利用多种编程语言(包括 JavaScript、VBS、PowerShell、C#、C++)构建复杂的进程链,最终实现恶意后门木马功能,具有高度隐蔽性和危害性。其具备以下行为特征:
- 伪装成正常项目,具有强隐蔽性:此类病毒通常会伪装成后门(命令与控制)框架、游戏外挂、破解工具、爬虫脚本等热门开源项目,利用开发者对特定工具的需求诱导下载 。恶意代码可能嵌入具有正常功能的代码中,使得异常难以被发现。例如,一个看似功能完备的游戏外挂源码,在其核心功能代码的缝隙中,可能隐藏着用于窃取用户信息的恶意脚本。当开发者将其下载并使用时,就会在不知不觉中暴露自己的系统信息。
- 实现持久化感染与长期潜伏:病毒运行后,会修改系统注册表、添加自启动项或植入守护进程,确保在设备重启后仍能维持控制。以修改系统注册表为例,病毒会在注册表中创建特定的键值,使得每次系统启动时,病毒程序都会自动运行。这样一来,用户即使重启设备,也无法摆脱病毒的控制,病毒得以长期潜伏在系统中,持续收集信息。
- 进行数据窃取与监控:记录用户输入的账号、密码、支付信息等敏感数据;定期截取用户桌面,窃取隐私内容;盗取复制的加密货币地址、验证码等信息。在实际案例中,曾有用户因为下载了带有此类病毒的开源项目,导致其银行账号和密码被盗取,账户资金被转移。还有用户的加密货币地址被篡改,辛苦积累的虚拟资产不翼而飞。
- 进行远程控制与横向渗透:样本会连接攻击者的 C2 服务器,接受指令执行恶意操作。如下载更多恶意模块(勒索软件、挖矿木马等)、窃取浏览器 Cookies 和历史记录、劫持社交账号等。一旦与 C2 服务器建立连接,攻击者就可以像操作自己的设备一样控制受感染设备,进一步扩大攻击范围,甚至将病毒传播到同一网络中的其他设备,实现横向渗透。
此次样本利用 Visual Studio 的 PreBuildEvent 机制执行恶意命令,生成 VBS 脚本以下载 7z 解压工具和恶意压缩包 SearchFilter.7z。具体来说,在项目编译前,恶意代码利用 PreBuildEvent 机制自动触发执行,生成用于下载工具和压缩包的 VBS 脚本。解压后,样本加载一个基于 Electron 框架的程序,该程序具备反调试和虚拟机检测功能,能够规避安全分析环境。这意味着安全研究人员在使用调试工具或虚拟机进行分析时,病毒程序会自动识别并采取措施隐藏自身,增加了分析和防御的难度。随后,程序从 GitHub 下载并解压第二个恶意压缩包 BitDefender.7z,进一步释放多个恶意模块,包括后门工具(如 AsyncRAT、Quasar、Remcos)、剪贴板劫持组件以及 Lumma Stealer 窃密木马。这些恶意模块各司其职,共同完成窃取信息、控制设备等恶意行为。
目前,Github 已下架部分恶意仓库,但攻击者可能更换身份继续活动,用户仍需保持警惕。在过去的类似事件中,就有黑客在项目被下架后,迅速更换账号和项目名称,重新上传恶意代码。因此,用户在使用 GitHub 等开源平台时,不能仅仅依赖平台的审核,还需要自身提高安全意识,仔细甄别项目的安全性。