在開源生態蓬勃發展的當下，黑客們也將黑手伸向了代碼共享平臺。當黑產開發者以為在共享 “行業秘笈” 時，殊不知已經掉入了黑客布置的陷阱 —— 看似方便的后門遠程控制源碼和游戲作弊外掛源碼等 “圈內資源”，實則是植入了惡意代碼的投毒誘餌。黑客抓住相關開發者對開源代碼的信任，用 “魔法”（偽造的開源項目）打敗 “魔法”（黑灰產項目），上演了一場黑產生態中的荒誕戲碼。

近日，火絨安全實驗室發現一款針對游戲黑灰產的 GitHub 投毒木馬病毒再度廣泛傳播。隨著游戲行業的繁榮，游戲黑灰產也日益猖獗，他們通過制作外掛、盜取賬號等手段謀取利益。而此次攻擊者正是瞄準了這些黑灰產開發者，主要通過偽造包括后門遠程控制源碼和游戲作弊外掛源碼等進行投毒。這些黑灰產開發者為了獲取便捷的工具，往往會放松警惕，直接下載使用 GitHub 上的開源項目，這正中了攻擊者的下懷。攻擊者利用開發者對開源代碼的信任，將惡意代碼植入看似正常的項目中，誘導用戶下載和執行。一旦用戶中招，此類病毒能夠竊取用戶敏感信息、遠程控制受感染設備，造成難以估量的損失。

該樣本的后門解壓密碼（hR3^&b2% A9!gK*6LqP7t$NpW）與今年 1 月發布的《GitHub 開源項目被投毒，后門病毒跟隨開發流程傳播蔓延》完全一致，具體細節可參考往期報告。這種密碼的一致性，暗示著背后可能是同一黑客團伙在持續作案，他們通過不斷更新和優化惡意項目，擴大攻擊范圍。

目前，火絨安全產品已實現對該類樣本的精準識別，能夠有效阻斷其加載過程，為用戶系統提供可靠的安全保障。火絨安全團隊通過對病毒樣本的深入分析，提取其獨特的代碼特征和行為模式，從而實現對病毒的準確攔截。為了進一步增強系統防護能力，火絨安全建議廣大用戶及時更新病毒庫，確保系統能夠抵御最新威脅，防范潛在安全風險。因為黑客們也在不斷改進病毒技術，只有保持病毒庫的更新，才能及時識別和防御新出現的變種。

此病毒利用多種編程語言（包括 JavaScript、VBS、PowerShell、C#、C++）構建復雜的進程鏈，最終實現惡意后門木馬功能，具有高度隱蔽性和危害性。其具備以下行為特征：

1. 偽裝成正常項目，具有強隱蔽性：此類病毒通常會偽裝成后門（命令與控制）框架、游戲外掛、破解工具、爬蟲腳本等熱門開源項目，利用開發者對特定工具的需求誘導下載 。惡意代碼可能嵌入具有正常功能的代碼中，使得異常難以被發現。例如，一個看似功能完備的游戲外掛源碼，在其核心功能代碼的縫隙中，可能隱藏著用于竊取用戶信息的惡意腳本。當開發者將其下載并使用時，就會在不知不覺中暴露自己的系統信息。
2. 實現持久化感染與長期潛伏：病毒運行后，會修改系統注冊表、添加自啟動項或植入守護進程，確保在設備重啟后仍能維持控制。以修改系統注冊表為例，病毒會在注冊表中創建特定的鍵值，使得每次系統啟動時，病毒程序都會自動運行。這樣一來，用戶即使重啟設備，也無法擺脫病毒的控制，病毒得以長期潛伏在系統中，持續收集信息。
3. 進行數據竊取與監控：記錄用戶輸入的賬號、密碼、支付信息等敏感數據；定期截取用戶桌面，竊取隱私內容；盜取復制的加密貨幣地址、驗證碼等信息。在實際案例中，曾有用戶因為下載了帶有此類病毒的開源項目，導致其銀行賬號和密碼被盜取，賬戶資金被轉移。還有用戶的加密貨幣地址被篡改，辛苦積累的虛擬資產不翼而飛。
4. 進行遠程控制與橫向滲透：樣本會連接攻擊者的 C2 服務器，接受指令執行惡意操作。如下載更多惡意模塊（勒索軟件、挖礦木馬等）、竊取瀏覽器 Cookies 和歷史記錄、劫持社交賬號等。一旦與 C2 服務器建立連接，攻擊者就可以像操作自己的設備一樣控制受感染設備，進一步擴大攻擊范圍，甚至將病毒傳播到同一網絡中的其他設備，實現橫向滲透。

此次樣本利用 Visual Studio 的 PreBuildEvent 機制執行惡意命令，生成 VBS 腳本以下載 7z 解壓工具和惡意壓縮包 SearchFilter.7z。具體來說，在項目編譯前，惡意代碼利用 PreBuildEvent 機制自動觸發執行，生成用于下載工具和壓縮包的 VBS 腳本。解壓后，樣本加載一個基于 Electron 框架的程序，該程序具備反調試和虛擬機檢測功能，能夠規避安全分析環境。這意味著安全研究人員在使用調試工具或虛擬機進行分析時，病毒程序會自動識別并采取措施隱藏自身，增加了分析和防御的難度。隨后，程序從 GitHub 下載并解壓第二個惡意壓縮包 BitDefender.7z，進一步釋放多個惡意模塊，包括后門工具（如 AsyncRAT、Quasar、Remcos）、剪貼板劫持組件以及 Lumma Stealer 竊密木馬。這些惡意模塊各司其職，共同完成竊取信息、控制設備等惡意行為。

目前，Github 已下架部分惡意倉庫，但攻擊者可能更換身份繼續活動，用戶仍需保持警惕。在過去的類似事件中，就有黑客在項目被下架后，迅速更換賬號和項目名稱，重新上傳惡意代碼。因此，用戶在使用 GitHub 等開源平臺時，不能僅僅依賴平臺的審核，還需要自身提高安全意識，仔細甄別項目的安全性。