🏠最新收集於 9m

黑客利用 GitHub 倉庫傳播 BoryptGrab 木馬

黑客利用 GitHub 倉庫傳播 BoryptGrab 木馬
PostLinkedIn
🏠閱讀原文: IT之家

💡重大安全警告:超過 300 個偽造 GitHub 倉庫正活躍地竊取開發者憑證與加密資產。

⚡ 30-Second TL;DR

有什麼變化

黑客自 6 月 26 日起建立了 292 個偽造的 GitHub 倉庫。

為什麼重要

此攻擊活動凸顯了針對開發者社群的供應鏈攻擊風險日益增加。這強調了從開源倉庫下載工具時,必須進行嚴格驗證的重要性。

下一步行動

請審查您的本地開發環境,檢查近期是否有從未經驗證的 GitHub 倉庫下載過任何工具。

誰應關注:Developers & AI Engineers

關鍵要點

  • 黑客自 6 月 26 日起建立了 292 個偽造的 GitHub 倉庫。
  • BoryptGrab 木馬內建 11 個模組,專門竊取瀏覽器 Cookie、密碼及加密貨幣資產。
  • 惡意連結被植入 README 文件中,引導用戶前往釣魚下載頁面。

🧠 深度解析

AI-generated analysis for this event.

🔑 增強重點摘要

  • Arctic Wolf 研究人員指出,這些惡意倉庫主要透過搜尋引擎優化(SEO)中毒技術,確保在搜尋熱門軟體時能排在搜尋結果前列。
  • BoryptGrab 木馬在執行後會進行環境檢查,若偵測到虛擬機或沙盒環境則會自動終止,以規避安全分析人員的偵測。
  • 該惡意軟體利用合法的雲端儲存服務(如 Discord CDN 或其他檔案託管平台)作為第二階段載荷的下載源,以繞過 GitHub 的安全掃描。
  • 攻擊者在 README 文件中使用了混淆過的連結,並偽裝成軟體的官方安裝指南或破解工具,誘騙開發者執行惡意腳本。
  • 受感染的系統會被植入持久化機制,透過修改 Windows 登錄檔(Registry)確保在系統重啟後自動執行惡意程序。

🛠️ 技術深入

  • 惡意載荷:採用多階段下載機制,初始腳本通常為 PowerShell 或 Batch 腳本,用於下載核心木馬檔案。
  • 數據竊取機制:透過遍歷瀏覽器(如 Chrome, Edge, Brave)的 Local State 與 Login Data 檔案,解密並提取儲存的憑證。
  • 加密貨幣竊取:針對常見的加密貨幣錢包插件(如 MetaMask, Phantom)進行檔案路徑掃描,嘗試竊取錢包種子短語(Seed Phrases)。
  • 通訊協定:木馬與攻擊者控制的 C2(命令與控制)伺服器通訊時,採用加密的 HTTP/HTTPS 請求,並將竊取的數據打包為 JSON 格式進行傳輸。
  • 規避技術:內建反除錯(Anti-Debugging)與反分析(Anti-Analysis)代碼,檢查系統進程中是否存在 Wireshark、Process Hacker 等監控工具。

🔮 前景展望AI analysis grounded in cited sources

GitHub 將強制實施更嚴格的倉庫內容掃描機制
由於惡意倉庫濫用 README 進行釣魚攻擊的頻率增加,平台勢必會引入基於 AI 的惡意連結檢測系統。
開發者對開源軟體的信任度將持續下降
頻繁的供應鏈攻擊迫使企業與開發者在下載開源代碼時,必須採用更嚴格的簽章驗證與沙盒測試流程。

時間線

2026-06
攻擊者開始在 GitHub 上大規模建立偽造倉庫
📰

AI 週報

閱讀本週精選 AI 大事摘要 →

👉相關動態

AI 策展新聞聚合。所有內容版權歸原始發布者所有。
原始來源: IT之家