事件概要

自北京時間 2024.12.4 晚間6點起， GitHub 上不斷出現“幽靈倉庫”，倉庫中沒有任何代碼，只有誘導性的病毒文件。當天，他們成為了 GitHub 上 star 增速最快的倉庫。超過 180 個虛假僵尸賬戶正在傳播病毒，等待不幸者上鉤。

而這一切被一位中國開發者--我收在眼底。經過幾天的探測尋找，疑似找到了攻擊者的真身。

事件經過

別人編寫了一套開源程序，用于尋找當下最早期的潛力種子項目。 源碼?https://github.com/chmod777john/github-hunter

我曾經用它找到過一個很好的開源項目 MagicQuill ，在其創建還不足24小時的時候我就檢測到它了。

自此我大受鼓舞，決定每天都用我的算法搜尋一下Github上最新創建的倉庫中，看看哪些是有潛力的。這樣我可以領先于官方的Github Trending榜，也能比絕大部分科技媒體更早地發現好項目。

在 12.4 的搜尋過程中，我發現了一批不太一樣的倉庫。

這里面的 is None 代表倉庫有大量 star 記錄，后來卻被刪庫。為何有如此大量的高贊倉庫會被刪除呢？

期初我沒在意，而在一天后，這些倉庫再次出現。

就好像幽靈一樣，建倉->取得高贊->刪庫->再次創建。

罪證

這些倉庫點進去一看，都是同一種風格： 聲稱自己是某個游戲的外掛或者 PhotoShop 破解版之類的，引導用戶下載并且打開他的 exe 文件。

基本可以確定是釣魚倉庫了。所有這些倉庫創建時間都非常相近，大約就是十多小時之前，而且短時間內積累到幾百 star ，其背后必有高人。

追兇

這些攻擊者是誰？ 我決定一探究竟。

歷時4年的攻擊

首先查看是誰給這些倉庫點了贊，

我本以為大多是最新創建的機器人賬號。

出乎意料的是，這些賬號的加入時間并不短。有些賬號甚至是 2020 年就加入 Github 了。

4年的老號可不是說弄就弄的，如果這號是他自己的，那可真是下了血本，一個號養4年就為了這一天？

如果這號是他在黑市上買的，那說明4年前就有人開始批量養小號，也是一條很可觀的產業鏈了。（創業都不一定能創4年呢）

無論這些號是攻擊者自己養的還是在黑市上買的，成本都不低。

一片空白

我開始逐個賬戶打開查看，坐實了一件事：這些倉庫都是一伙兒的！

這個人點贊過的所有倉庫，都是剛剛說的幽靈倉庫！

不過個人資料卡上完全沒有任何痕跡。 沒有粉絲，也沒有關注的人，這讓我們無從下手，簡直一片空白。

漫漫長路

180 多個賬號，我真的逐個點開來看了。其中大部分的都是純粹的空白賬戶，只用來點贊。但仍然有一些是附帶個人資料的。

這個賬號甚至附帶了個人網頁和 Instagram 。

不過凡事講究雙向證明。萬一這個賬號是冒用小哥的信息呢？ 只能將其列為懷疑對象。

峰回路轉

攻擊者賬戶 follow 了誰，并不重要，因為攻擊者可以冒用他人信息。真正有用的線索，應該看誰 follow 了攻擊者。

踏破鐵鞋無覓處，我找到了一個活人賬號。

有 5 個人 follow 了這個賬號！而且看他的 star 歷史，可以明確他是攻擊者之一。

而且該賬號有真實的 Github 代碼提交記錄（記住這個叫 SimpleBot 的倉庫）

我們來看看是誰 follow 了這個 G4tito

這兩位都是大人物。看看他們的 Github 主頁長啥樣：

BrunoSobrino 和 elrebelde21 這兩位大 V， 曾經合作過一個開源項目。

和明確攻擊者做的項目是同名的！

至此，邏輯鏈如下：

可見 BrunoSobrino 和 elrebelde21 這兩位大牛，跟攻擊者 G4tito 可能是有聯系的。

其實到這里基本破案了。操縱 180 多個賬號是短時間內點贊和創建倉庫，批量生成內容，不太可能用人工完成，應該是用?GitHub API?自動化做的。這兩位大牛和明確攻擊者，做的項目都是那種 WhatsAPP 機器人，技術棧也相當吻合了。

2024.12.7 凌晨 6:11 更新

經評論區大佬提點，找到一個疑似線索

地址

https://github.com/BrunoSobrino/ShadowBotV3

GhostArchive?備份地址?https://ghostarchive.org/archive/1EZ9e

證據

我知道曝光之后，他們肯定會刪庫的，因此我已經提前把所有網頁都備份到 GhostArchive 了。

我挖掘到的惡意倉庫列表，也全都放在了區塊鏈上，形成鐵證。

各位看官不必信任我，請直接去查看區塊鏈。所有記錄都在里面。

https://viewblock.io/arweave/tx/Cppr-Bus0TxC6_zqD-sJitVz4Ne3sR0noJknsuyhZ4Q

宣傳

我知道一些媒體朋友會見到這篇文章，我希望你們幫我推廣。

我只是一個不起眼的小人物，這個故事不推廣的話，就只能爛在我的肚子里。

我認為這是個好故事。中國程序小哥，單槍匹馬，通過大數據篩查的方式，破獲了一起 GitHub 惡意軟件釣魚事件，涉及的大V在 Github 上有接近數百關注者，獲得過幾千 star 。同時涉及有多達 180 個虛假賬號，長達 4 年的活動。 這些 buff 疊在一起，相當有故事性了。

更重要的是，這件“真人真事” 是可以被檢驗的。所有的記錄都在區塊鏈上，涉事人刪庫也沒用。

所有人都可以重走一遍我的偵查之旅，仔細檢驗每個網頁備份。

把這個故事發揚出去，能有什么好處：

我可以用區塊鏈私鑰簽署一條消息，內容是“xx媒體慧眼識珠，是第一批愿意幫助我推廣這個故事的人” 。消息一旦簽署上鏈，所有人都可以校驗，而且不可篡改，如同鐵證，連我自己也無法反悔。

憑借這樣一條消息，我越火，你的含金量越高。

我不太會講故事，但上面都是真事兒，每個細節都可以檢查。

如果你覺得這個故事可以幫我講好的話，聯系我。

---

事件描述：

chmod777john/ghost-repos?github.com/chmod777john/ghost-repos

我發現這個攻擊事件所用的工具：

github-hunter/index.ipynb at main · chmod777john/github-hunter?github.com/chmod777john/github-hunter/blob/mai