百度360必应搜狗淘宝本站头条
python判断字典是否为空crontab每周一执行aes和des区别安装指定版本npmadb pull
当前位置:网站首页 > IT知识 > 正文

预警 : 病毒“黑吃黑”,GitHub开源远控项目暗藏后门

liuian 2025-09-06 06:22 3 浏览

当黑产开发者以为在共享“行业秘笈”时,殊不知已经掉入了黑客布置的陷阱——看似方便的后门远程控制源码和游戏作弊外挂源码等“圈内资源”,实则是植入了恶意代码的投毒诱饵。黑客抓住相关开发者对开源代码的信任,用“魔法”(伪造的开源项目)打败“魔法”(黑灰产项目),上演了一场黑产生态中的荒诞戏码。

近日,火绒安全实验室发现一款针对游戏黑灰产的GitHub投毒木马病毒再度广泛传播。攻击者主要通过伪造包括后门远程控制源码和游戏作弊外挂源码等进行投毒,利用相关开发者对开源代码的信任,将恶意代码植入看似正常的项目中,诱导用户下载和执行。此类病毒能够窃取用户敏感信息、远程控制受感染设备。

该样本的后门解压密码(hR3^&b2%A9!gK*6LqP7t$NpW)与今年1月发布的《GitHub开源项目被投毒,后门病毒跟随开发流程传播蔓延》(https://www.huorong.cn/document/tech/vir_report/1802)完全一致,具体细节可参考往期报告。

目前,火绒安全产品已实现对该类样本的精准识别,能够有效阻断其加载过程,为用户系统提供可靠的安全保障。为了进一步增强系统防护能力,火绒安全建议广大用户及时更新病毒库,确保系统能够抵御最新威胁,防范潜在安全风险。

查杀图

投毒项目

后门主程序界面

此病毒利用多种编程语言(包括JavaScript、VBS、PowerShell、C#、C++)构建复杂的进程链,最终实现恶意后门木马功能,具有高度隐蔽性和危害性。其具备以下行为特征:

1.伪装成正常项目,具有强隐蔽性:此类病毒通常会伪装成后门(命令与控制)框架、游戏外挂、破解工具、爬虫脚本等热门开源项目,利用开发者对特定工具的需求诱导下载。恶意代码可能嵌入具有正常功能的代码中,使得异常难以被发现。

2.实现持久化感染与长期潜伏:病毒运行后,会修改系统注册表、添加自启动项或植入守护进程,确保在设备重启后仍能维持控制。

3.进行数据窃取与监控:记录用户输入的账号、密码、支付信息等敏感数据;定期截取用户桌面,窃取隐私内容;盗取复制的加密货币地址、验证码等信息。

4.进行远程控制与横向渗透:样本会连接攻击者的C2服务器,接受指令执行恶意操作。如下载更多恶意模块(勒索软件、挖矿木马等)、窃取浏览器Cookies和历史记录、劫持社交账号等。

此次样本利用Visual Studio的PreBuildEvent机制执行恶意命令,生成VBS脚本以下载7z解压工具和恶意压缩包SearchFilter.7z。解压后,样本加载一个基于Electron框架的程序,该程序具备反调试和虚拟机检测功能,能够规避安全分析环境。随后,程序从GitHub下载并解压第二个恶意压缩包BitDefender.7z,进一步释放多个恶意模块,包括后门工具(如AsyncRAT、Quasar、Remcos)、剪贴板劫持组件以及Lumma Stealer窃密木马。

Visual Studio 执行利用

目前,Github已下架部分恶意仓库,但攻击者可能更换身份继续活动,用户仍需保持警惕。

相关推荐

PHPMAILER实现PHP发邮件功能php实例

这篇文章主要为大家详细介绍了PHPMAILER实现PHP发邮件功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下本文实例为大家分享了PHPMAILER实现PHP发邮件功能的具体代码,供大家参考,具...

Cacti监控服务器配置教程(基于CentOS+Nginx+MySQL+PHP环境搭建)

具体案例:局域网内有两台主机,一台Linux、一台Windows,现在需要配置一台Cacti监控服务器对这两台主机进行监控环境说明:1、Linux主机操作系统:CentOS6.2IP地址:192.1...

如何在webmin中配置多个PHP版本_怎么配置php

请关注本头条号,每天坚持更新原创干货技术文章。如需学习视频,请在微信搜索公众号“智传网优”直接开始自助视频学习1.前言如何在webmin中配置多个PHP版本?本教程将会给您一些启示和操作案例。Web...

详解Drupal安装步骤_drools安装

DrupalDrupal是一个基于PHP语言编写的开源的内容管理系统(CMS:ContentManagementSystem),和Wordpress等CMS一样提供主题。在这里详细介绍一下安装Dr...

nternet 信息服务(IIS) 升级为IIS 6.0

 WindowsServer2003中Internet信息服务(IIS)升级为IIS6.0,其安全性更高。默认情况下,WindowsServer2003没有安装IIS6.0,要通过...

Php JIT 使用详解_php的!

简介PHP8引入的JIT(Just-In-Time编译器)是该版本的一个重要性能特性,首次让PHP有了运行时即时编译的能力,从解释型语言迈向了“编译执行”的方向。什么是JIT?JIT...

php 常见配置详解_php cgi配置

以下是PHP常见的配置项及其含义:error_reporting:设置错误报告级别,可以控制PHP显示哪些错误。例如,设置为E_ALL将显示所有错误,而设置为0将禁止显示任何错误。displa...

技巧:PHP版本怎样隐藏在Linux服务器

通常情况下,大多数安装web服务器软件的默认设置存在信息泄露,这些软件其中之一就是PHP。PHP是如今最流行的服务端html嵌入式语言之一。而在如今这个充满挑战的时代,有许多黑客会尝试发现你服务端的漏...

PHP八大安全函数解析_php安全设置

在现代互联网中,我们经常要从世界各地的用户中获得输入数据。但是,我们都知道“永远不能相信那些用户输入的数据”。所以在各种的Web开发语言中,都会提供保证用户输入数据安全的函数。在PHP中,有些非常有...

win7下apache+mysql+php安装配置_win7 mysql安装配置教程

一.首先下载好要用的apache版本:http://httpd.apache.org/download.cgimysql版本:http://dev.mysql.com/downloads/mys...

phpmyadmin取消最大文件限制的更改解决方法

用phpmyadmin导入大数据库的时候出现:Nodatawasreceivedtoimport.Eithernofilenamewassubmitted,orthefi...

成功安装 Magento2.4.3最新版教程「技术干货」

外贸独立站设计公司xingbell.com经过多次的反复实验,最新版的magento2.4.3在oneinstack的环境下的详细安装教程如下:一.vps系统:LinuxCentOS7.7.19...

CentOS、Nginx、PHP、MySQL的安装和配置记录

安装LNMP安装wget工具(可选) yuminstall-ywget下载Nginx wgethttp://www.atomicorp.com/installers/ato...

PHP扩展开发之路(二)_php扩展直接执行php代码

昨日,Jamlee发布了PHP扩展开发之路(一),今日再来续集,哈哈,会不会更有趣呢!不说多的,直接来!##0x2helloworld!,你的第一个php扩展##阅读前必看小贴士:如果你不想在本...

比较常见类型漏洞讲解(一)_常见漏洞的特点及危害

这里介绍一些手动挖掘漏洞时比较容易找到的漏洞,根据不同类型的漏洞来介绍。演示准备目标主机:Metasploitable2攻击目标:目标主机的dvwa系统攻击机:KaliSessionId盗用不知道你们...

一周热门
最近发表
标签列表