黑客借 GitHub 撒网投毒:超 200 个仓库暗藏远控木马、挖矿程序等恶意软件
自 2026 年 1 月起,不法分子利用 GitHub 代码托管平台,伪装成 DNS 和子域名扫描工具,传播包含远程访问木马(RAT)、信息窃取器和加密货币挖矿程序在内的多种 Windows 恶意软件。
Socket 研究团队首先发现了位于 github [.]com / kaleidora / dnsub-scanning-tool 的恶意 Go 模块。尽管该模块的 README 指向了一个合法的开源项目 dnsub,但其发布的包却位于不同的 GitHub 命名空间下,以此作为掩护。该模块的版本发布异常,自 2026 年 1 月 24 日首个版本发布以来,已累积发布超过 1200 个版本,其中超过 700 个被确认为恶意版本。
Socket 分析指出,这种版本数量的激增并非正常的版本工程,而是攻击者通过 GitHub Actions 工作流,利用每分钟定时提交并强制推送重写日志文件的机制,人为制造大量 Go“伪版本”记录。
该恶意模块通过隐藏的 PowerShell 窗口执行恶意代码。在进行任何扫描逻辑之前,它会从攻击者控制的域名 muckcoding.com 下载一个编码文件,并使用 certutil 工具将其解码为 L.ps1 PowerShell 脚本,然后以绕过执行策略的方式运行。攻击者并未将最终的恶意载荷 URL 硬编码在脚本中,而是采用了“死信解析器”(Dead Drop Resolver)技术。解码后的 L.ps1 脚本会从 Pastebin、Rlim 等公共粘贴服务,以及 YouTube、Instagram、Telegram、Google Docs 和 GitCode 等公共平台获取加密的载荷位置信息。脚本通过搜索特定标记字符串“LastW”,并使用硬编码密钥解密出真实的下载地址,从而实现高度的灵活性,便于攻击者在内容被封禁后快速更新。
最终解析出的 URL 指向一个托管在 GitHub Release 上的、受密码保护的 7-Zip 压缩包。该载荷会被解压至一个仿冒微软照片应用的目录中,并以隐藏窗口启动其中的 Microsoft.exe 文件。最终投放的恶意软件家族包括 AsyncRAT、Quasar、Remcos 等远控木马,以及 Vidar 等信息窃取器。
以该恶意模块为线索,Socket 团队揭露了一个规模更大的 GitHub 诱饵网络,该网络包含 190 个账户下的 222 个已确认的诱饵代码仓库。这些仓库的共同点是使用了一个特定的 GitHub Actions 工作流,将 Git 提交邮箱统一设置为 [email protected],同时将可见的提交用户名设置为当前仓库的所有者。这种“邮箱统一、用户名可变”的模式,使得攻击者能够制造出大量归属不同所有者的活跃提交记录,并留下一个可追踪的固定指纹。这些仓库同样会每分钟重写一次日志文件并强制推送,制造仓库活跃维护的假象。
这些诱饵仓库的主题高度集中,主要涉及加密货币和 Web3 工具、钱包集成、助记词工具、交易所自动化机器人、游戏外挂(如《PUBG》、《无畏契约》和《逃离塔科夫》)以及 Telegram 和 Discord 机器人等。
Socket 确认,在这些仓库中至少发现了 14 种不同的恶意文件,包括木马加载器、下载器、Vidar 窃密软件、间谍软件、释放器以及门罗币挖矿程序。其中一个名为 Loader.exe 的文件在四个不同的仓库中完全相同。
Socket 高度确信,“Muck and Load”行动与安全厂商 Sophos 在 2025 年 6 月披露的大规模 GitHub 后门活动属于同一攻击者集群,该活动也关联了邮箱 [email protected]。Sophos 当时追踪到 141 个相关仓库,其中 133 个被植入了后门。Sophos 还指出,“Muck”是该攻击者使用的别名之一,这解释了本次活动中出现的 muckcoding.com 和 muckdeveloper.com 等域名。
目前,GitHub 官方和 Go 语言安全团队尚未对此事发表公开评论,但 Go 安全团队已将相关恶意模块从 Go 模块代理(Go module proxy)中屏蔽。
广大开发者和用户应警惕来源不明、版本号异常激增或功能描述可疑的软件包,特别是声称涉及加密货币、游戏外挂或黑客工具的项目,避免下载或运行其中包含的代码和可执行文件。
加入討論,分享你的看法