澳客
深度分析

黑客借 GitHub 撒网投毒:超 200 个仓库暗藏远控木马、挖矿程序等恶意软件

自 2026 年 1 月起,有不法分子通过 GitHub 平台,利用一个伪装成 DNS 与子域名扫描工具的 Go 语言模块,向开发者及用户传播包含远程访问木马(RAT)、信息窃取器和加密货币挖矿程序等多种 Windows 恶意软件。

Socket 研究团队最初识别出的恶意 Go 模块位于 github [.]com / kaleidora / dnsub-scanning-tool。该模块的 README 文档引用了一个名为 dnsub 的合法开源子域名枚举项目,但实际发布的包却出现在了不同的 GitHub 命名空间下,以此作为掩护。其包元数据显示异常,自 2026 年 1 月 24 日发布首个版本以来,该模块在数月内累计发布了超过 1200 个版本,其中超过 700 个被确认为恶意版本。

Socket 分析指出,这种异常的版本发布并非正常的工程实践,而是攻击者利用 GitHub Actions 工作流,通过每分钟定时提交并强制推送重写的日志文件,人为制造出大量的版本记录,从而生成大量的 Go“伪版本”。

该恶意模块在其 main.go 文件中隐藏了恶意行为。在执行任何扫描逻辑之前,它会启动一个隐藏的 PowerShell 窗口,从攻击者控制的域名 muckcoding.com 下载一个编码文件。随后,利用 Windows 自带的 certutil 工具将其解码为 PowerShell 脚本 L.ps1,并以绕过执行策略的方式运行。Socket 指出,攻击者并未将最终的恶意载荷 URL 硬编码在脚本中,而是采用了“死信解析器”(Dead Drop Resolver)技术。解码后的 L.ps1 脚本会从 Pastebin、Rlim 等公共粘贴服务,以及 YouTube、Instagram、Telegram、Google Docs 和 GitCode 等多个公共平台获取加密的载荷位置信息。脚本会搜索特定的标记字符串“LastW”,然后使用硬编码密钥解密出真实的下载地址。这种设计使得攻击者在特定粘贴内容或域名被封禁时,能够迅速更新公共平台上的解析内容,而无需修改第一阶段的载荷,从而获得了极大的操作灵活性。

最终解析出的 URL 指向一个托管在 GitHub Release 上的、受密码保护的 7-Zip 压缩包。该载荷会被解压到一个仿冒微软照片应用的目录中,并以隐藏窗口模式启动其中的 Microsoft.exe 文件。经分析,最终投放的恶意软件家族包括 AsyncRAT、Quasar、Remcos 等远程访问木马,以及 Vidar 等信息窃取器。

以该恶意模块为切入点,Socket 团队进一步揭露了一个规模更大的 GitHub 诱饵网络,该网络包含 190 个账户下的 222 个已确认的诱饵代码仓库。

这些仓库的共同特点是使用了一个特定的 GitHub Actions 工作流,该工作流将 Git 提交邮箱统一设置为 [email protected],同时将可见的提交用户名设置为当前仓库的所有者。这种“邮箱统一、用户名可变”的模式,使得攻击者能够利用大量一次性账户生成不同所有者的活跃提交记录,同时留下了一个可追踪的固定指纹。这些仓库会每分钟重写一次日志文件并进行强制推送,营造出仓库正在积极维护的假象。

这些诱饵仓库的主题高度集中,主要围绕加密货币和 Web3 工具、钱包集成、助记词工具、交易所自动化机器人、游戏外挂(如《PUBG》、《无畏契约》和《逃离塔科夫》)以及 Telegram 和 Discord 机器人等。

Socket 确认,在这些仓库中至少发现了 14 种不同的恶意文件,包括木马加载器、下载器、Vidar 窃密软件、间谍软件、释放器以及门罗币挖矿程序。其中一个名为 Loader.exe 的文件在四个不同的仓库中完全相同。

Socket 高度确信,“Muck and Load”行动与安全厂商 Sophos 在 2025 年 6 月披露的、同样关联邮箱 [email protected] 的大规模 GitHub 后门活动属于同一攻击者集群。当时 Sophos 的研究人员追踪到 141 个相关仓库,其中 133 个被植入了后门。Sophos 还指出,“Muck”是该攻击者使用的别名之一,这也解释了本次活动中出现的 muckcoding.com 和 muckdeveloper.com 等域名。

目前,GitHub 官方及 Go 语言安全团队尚未对此事发表公开评论,但 Go 安全团队已迅速采取行动,将相关恶意模块从 Go 模块代理(Go module proxy)中屏蔽。

IT之家提醒广大开发者和用户,对于来源不明、版本号异常激增或功能描述可疑的软件包,应保持高度警惕,尤其是那些声称具备加密货币、游戏外挂或黑客工具等功能的项目,切勿轻易下载或运行其中包含的代码与可执行文件。

別讓背景故事拖垮節奏,大膽刪減是關鍵!

這是關於撰寫角色背景系列文章的開端。後續我會分享更多實用技巧,敬請期待!別忘了在留言區告訴我,你還想看到哪些主題的內容!

  • 分享文章

相關文章推薦

小說速成法:給不同寫作風格的你
營造故事氛圍:四大絕招塑造強烈感受
真實角色關係:十招打造令人信服的互動

精彩留言

熱門賽事

你与年轻有抱负的作家分享这些技巧,这太棒了。即使他们不写小说,我相信他们从像你这样技艺精湛的作家那里学到新东西会非常有益。我很乐意听到一些关于作家如何在不删减章节的情况下发展情节的建议(我经常在年轻作家的书中看到这种情况)。总之,感谢你的这篇帖子,它非常有信息量!

獨家專訪

我非常認同你最後一點,同時也覺得探討主角間關係的發展方式會很有啟發性,這部分絕對值得深入挖掘。

球隊動態

极好的文章!亚当斯先生不仅写出伟大的书籍,他的博客文章也易于阅读且引人入胜。作为一名初学者作家,我希望这些技巧能帮助我尽快完成我的新书。我现在卡在写背景故事上。当然,我正在等待这篇文章的第二部分,我希望听到更多关于介绍次要角色的内容。我相信他们在构建情节时也很有意义。

赛事分析

关于我们

自小熱愛體育資訊的澳客小編,在撰寫賽事分析時總能展現獨到見解,累積了豐富的專業內容。

订阅资讯

立即订阅,不错过

最新动态

  • 寫你的第一本小說:成功入門技巧 2026年5月15日 / 1 則留言
  • 如何精準描寫場景與背景 2026年5月18日 / 1 則留言
  • 為何人物背景如此重要 2026年5月20日 / 1 則留言

关注我们

追蹤官方澳客網社群,掌握第一手賽事動態與獨家深度專題。

热门话题

  • 赛事
  • 球队
  • 深度分析
  • 球星
  • 部落格
  • 技巧
让美好如期而至电话:+86 157 9287 5631邮箱:[email protected]微信:globeaoke_628