安全研究人员揭露了一场持续近一年的大规模网络攻击活动,幕后攻击者为越南语系黑客组织,该组织将GitHub打造成了高级信息窃取类恶意软件的核心分发平台。该行动自 2025 年 3 月起持续活跃,通过复杂的多级加载器链条与区块链技术,对受感染主机实现持久化控制。
此次攻击的规模尤为惊人:在超过 47 个 GitHub 账号中已确认存在 600 余个独有的恶意 ZIP 压缩包。截至 2026 年 3 月初,其中至少 25 个账号仍处于活跃状态,并持续投放恶意载荷。
攻击者依托高迷惑性的社会工程学诱饵锁定目标。GitHub 上的恶意仓库经过精心伪装,假冒各类 SaaS 工具破解版浏览器扩展、游戏外挂、开发者工具及成人内容资源。
每个仓库均包含一个 ZIP 压缩包,一旦解压便会启动LuaJIT 加载器链条。追踪该活动的 ESET 研究人员指出,此次攻击中已出现16 代不同的混淆器版本,涵盖从 Lua/Agent.Z 到 Lua/Agent.BT 等多个变种,足见该组织技术迭代速度极快。
为规避传统网络防御机制,该加载器并未对 C2 服务器地址进行硬编码,而是将Polygon 主网用作去中心化的 “通信簿”。
该恶意软件通过调用 Polygon 主网智能合约中的获取函数解析 C2 服务器地址。攻击者只需通过链上交易更新存储的 IP,即可瞬时切换攻击基础设施。这一创新手段实现了“更换基础设施无需重新部署恶意程序”,让该僵尸网络在面对域名关停操作时具备极强的抗打击能力。
与 C2 服务器建立连接后,加载器会从 GitHub 的 “死信箱” 仓库拉取最终载荷。该载荷需经过四层密集解密(十六进制、异或、Base64URL、AES-ECB),解密后显现为StealC 信息窃取木马。
已监测到的 StealC 窃取能力
- 凭据窃取:盗取浏览器中保存的密码与自动填充数据。
- 会话劫持:收集 Cookie 与身份认证令牌,绕过多因素认证(MFA)。
- 系统侦察:采集详细系统信息,定向检索特定文件路径并窃取数据。
- 载荷投递:可通过 PowerShell 或 msiexec 下载其他恶意模块。
该攻击活动的基础设施高度依赖高抗封杀托管服务商。研究人员发现:在 48 个加载器 IP 与全部窃取程序 IP 中,有 37 个归属 AS 207957(Serv.host Group Ltd)。
尽管 URLhaus 在 2026 年 1 月首次监测到该活动,但取证分析表明,其已在未被发现的情况下运行约 10 个月。GitHub 仓库中出现的越南语特征与特定命名规范,均指向越南语系黑客组织是这一全球性信息窃取团伙的主要策划者。
安全建议:用户从 GitHub 下载 “破解版” 软件或扩展程序时需高度警惕,即便外观正规的仓库,也可能隶属于这套庞大的自动化感染体系。
发表评论
您还未登录,请先登录。
登录