穿越小说完本,玄幻小说排行榜完本,小说排行榜完结版

新聞資訊

最新資訊

聯(lián)系我們

手機：13714172796
郵箱：[email protected]
地址：深圳市龍華區(qū)民治街道民治社區(qū)1970科技園8棟1樓112

行業(yè)動態(tài)

首頁 > 行業(yè)動態(tài)

火絨華南銷售及服務中心 | GitHub開源項目被投毒，后門病毒跟隨開發(fā)流程傳播蔓延

現(xiàn)如今，代碼的開放給軟件開發(fā)提供了諸多便利，GitHub就是其中極具代表性的平臺。然而隨著“開放”逐漸廣泛，其被惡意利用的風險也隨之增加。近年來，一種隱蔽又危險的攻擊手段——代碼投毒，悄悄成了威脅開發(fā)者和用戶安全的隱患。攻擊者會在開源項目或代碼庫里植入有害代碼，這些看似正常的代碼，一旦被開發(fā)者無意中引入，就會在開發(fā)鏈條中蔓延，最終讓用戶也面臨安全風險。

近期，火絨威脅情報中心監(jiān)測到一批GitHub投毒的惡意樣本。經(jīng)火絨工程師分析，該木馬利用多種編程語言（包括JavaScript、VBS、PowerShell、C#、C++）構(gòu)建復雜的進程鏈，最終實現(xiàn)惡意后門木馬功能。這種投毒攻擊方式不僅隱蔽性強，還可能通過軟件供應鏈傳播到更廣泛的用戶群體中。目前，火絨安全產(chǎn)品已具備對該類GitHub投毒樣本的精準識別能力，能夠有效阻斷其加載過程，為用戶系統(tǒng)提供可靠的安全保障。為了進一步增強系統(tǒng)防護能力，火絨安全建議廣大用戶及時更新病毒庫。這將確保您的系統(tǒng)能夠抵御最新威脅，防范潛在安全風險。

查殺圖

一

GitHub投毒事件及潛在風險

盡管此類攻擊看似主要針對開發(fā)者，但其潛在影響卻遠不止于此，甚至可能波及每一位普通用戶。以下將詳細介紹此類攻擊的運作方式及其可能帶來的風險，希望廣大用戶在了解后能夠進一步提升終端安全防護意識。

*攻擊的起點——開發(fā)者

攻擊者利用GitHub等開源平臺的開放性，將惡意代碼偽裝成正常工具，誘騙開發(fā)者下載和使用。而近年來，GitHub投毒攻擊已成為網(wǎng)絡(luò)安全領(lǐng)域備受關(guān)注的熱點話題。開發(fā)者作為軟件的構(gòu)建者，一旦不慎落入陷阱，這些惡意代碼便會悄無聲息地潛入他們的開發(fā)環(huán)境。而開發(fā)者編寫的代碼和使用的工具，最終將會轉(zhuǎn)化為我們?nèi)粘Ｉ钪兴蕾嚨膽贸绦蚝头铡Ｒ虼?，一旦開發(fā)環(huán)境被污染，安全隱患便會順著開發(fā)流程蔓延，進而影響到每一位普通用戶。

*供應鏈的連鎖反應

在軟件開發(fā)的生態(tài)系統(tǒng)中，開發(fā)者所使用的工具和庫往往會通過軟件供應鏈傳播到更廣泛的應用中，它們會通過層層傳遞，融入到更廣泛的應用程序中。例如：

一個被篡改的開源庫可能被集成到多個軟件項目中。由于開源庫的廣泛使用和高度共享性，這種篡改行為很容易在軟件開發(fā)過程中傳播開來。
這些軟件項目最終會發(fā)布到應用商店，或者通過更新機制推送到用戶的設(shè)備上。在這個過程中，惡意代碼可能會隨著軟件的分發(fā)而擴散到用戶手中。

因此，即使我們從未直接接觸過GitHub或開源代碼，也可能因為使用了某個被感染的軟件而成為受害者。

*潛在風險

隱私泄露：惡意代碼可能會竊取個人信息，如賬號密碼、瀏覽器Cookies等。
遠程控制：攻擊者可能通過遠程訪問工具控制設(shè)備，甚至監(jiān)控使用者的一舉一動。
經(jīng)濟損失：竊取的信息可能被用于欺詐或勒索，導致使用者遭受財產(chǎn)損失。
數(shù)據(jù)勒索：惡意代碼可能導致設(shè)備運行緩慢、頻繁崩潰，以及加密數(shù)據(jù)以勒索設(shè)備擁有者。

而火絨威脅情報中心監(jiān)測到的這一批惡意樣本，就存在盜取信息導致隱私泄露、遠程控制等風險，以下為樣本分析內(nèi)容。

二

樣本分析

執(zhí)行流程圖

2.1 樣本信息

該樣本通過利用Visual Studio的PreBuildEvent機制執(zhí)行惡意命令，生成VBS腳本以下載7z解壓工具和惡意壓縮包SearchFilter.7z。解壓后，樣本加載一個基于Electron框架的程序，該程序具備反調(diào)試和虛擬機檢測功能，能夠規(guī)避安全分析環(huán)境。隨后，程序從GitHub下載并解壓第二個惡意壓縮包BitDefender.7z，進一步釋放多個惡意模塊，包括后門工具（如AsyncRAT、Quasar、Remcos）、剪貼板劫持組件以及Lumma Stealer竊密木馬。

這些模塊共同構(gòu)建了一個多層次、功能完備的惡意行為鏈，能夠?qū)崿F(xiàn)遠程控制、剪貼板內(nèi)容篡改、瀏覽器Cookie及其他敏感信息竊取等破壞性操作，對用戶系統(tǒng)安全構(gòu)成嚴重威脅。

2.2 Loader動靜態(tài)分析

首先，病毒利用GitHub進行傳播，通過Visual Studio的PreBuildEvent命令執(zhí)行cmd命令。

測試執(zhí)行calc

配置文件

以下是GitHub中Apex-Legends-External-Cheat-Hack-Trigger-Glow-Aimbot-Skin-More-Hwid-Spoofer外掛作弊軟件項目中的惡意命令。

惡意命令

對其執(zhí)行的命令進行分析，發(fā)現(xiàn)攻擊者采用了Base64加密的VBS腳本。解密后，腳本內(nèi)容被寫入到名為b.vbs的文件中。

Base64加密

對其進行解密。

解密

解密后的VBS腳本通過反轉(zhuǎn)字符串、Base64解碼等方式對混淆內(nèi)容進行處理，并利用Invoke-Expression執(zhí)行解碼后的指令。此外，腳本通過調(diào)用pWN $bnb來運行隱藏的惡意邏輯。

解密VBS腳本

最終解密之后是一段PowerShell腳本，主要功能如下。

多層遞歸調(diào)用與Base64解碼：腳本通過多層遞歸調(diào)用和Base64解碼技術(shù)，逐步解析出隱藏的下載地址，確保其隱蔽性。
下載7z解壓工具：腳本從指定地址下載7z解壓工具，并將其保存到C:\ProgramData\sevenZip目錄中。
執(zhí)行SearchFilter.exe：在下載并解壓相關(guān)文件后，腳本會執(zhí)行SearchFilter.exe，以加載后續(xù)的惡意功能。
清理痕跡：腳本會在執(zhí)行完成后刪除下載的壓縮包文件。

下載7z

下載執(zhí)行惡意程序

解密關(guān)鍵信息：

下載鏈接：
https://github.com/Fxkw45/delhi-metro/releases/download/metro/SearchFilter.7z
該鏈接指向托管在GitHub上的惡意壓縮包SearchFilter.7z。
解壓密碼：
hR3^&b2%A9!gK*6LqP7t$NpW
該密碼用于解壓下載的SearchFilter.7z文件，以釋放其中的惡意內(nèi)容。

解密鏈接與解壓密碼

其下載鏈接指向了一個Fork的GitHub項目，攻擊者利用GitHub的合法外衣來托管惡意樣本。

GitHub鏈接

使用解密的解壓密碼對其進行解壓，其主體是一個Electron程序的病毒。

Electron程序

對Electron程序進行解包后，發(fā)現(xiàn)其主文件是一個大小為1.03MB的JavaScript腳本文件，包含20000多行代碼，且代碼經(jīng)過高度混淆。為了還原其邏輯，采用以下方法進行解混淆。

AST（抽象語法樹）分析：
通過構(gòu)建JavaScript代碼的抽象語法樹（AST），對代碼結(jié)構(gòu)進行解析和重構(gòu)，以識別混淆邏輯并還原原始代碼。
定位最長數(shù)組：
在混淆代碼中，通常會將字符串、函數(shù)名等關(guān)鍵信息存儲在數(shù)組中，并通過索引調(diào)用。通過分析代碼中最長的數(shù)組，可以定位到關(guān)鍵的解密邏輯。
引用追蹤與解密器定位：
通過追蹤最長數(shù)組的引用關(guān)系，找到解密器的核心邏輯。解密器通常用于動態(tài)還原被混淆的字符串或函數(shù)，從而恢復代碼的可讀性。
逐步解混淆：
在定位解密器后，逐步還原被混淆的代碼邏輯，包括字符串解密、函數(shù)調(diào)用還原以及控制流扁平化的修復，最終恢復出可讀的JavaScript代碼。

去除JavaScript混淆

之后對其混淆并重命名變量名。

去混淆代碼

解混淆的邏輯是通過下載執(zhí)行的方式，繼續(xù)從GitHub進行下載進一步的后門與lumma stealer。

其首先通過執(zhí)行反虛擬機，通過獲取操作系統(tǒng)版本，檢測CPU核心數(shù)，顯卡名稱、硬盤空余大小的方式進行反虛擬機。

檢測虛擬機

之后腳本通過Base64解碼對加密內(nèi)容進行解密，并生成PowerShell腳本用于反調(diào)試。該腳本通過調(diào)用反調(diào)試技術(shù)，試圖阻止安全分析工具對惡意樣本調(diào)試。

反調(diào)試

對生成的antiDebug.ps1進行分析，發(fā)現(xiàn)代碼通過IsTargetProcess方法檢測以下進程（均為常見的調(diào)試工具、網(wǎng)絡(luò)分析工具和系統(tǒng)監(jiān)控工具）：

調(diào)試工具：
watcher.exe
ProcessHacker.exe
SystemInformer.exe
procexp.exe（Process Explorer）
網(wǎng)絡(luò)分析工具：
HttpAnalyzerStdV7.exe
mitmdump.exe
mitmproxy.exe
mitmweb.exe
Charles.exe
Fiddler.exe
Fiddler Everywhere.exe
Fiddler.WebUi.exe
HTTPDebuggerUI.exe
HTTPDebuggerSvc.exe
HTTPDebuggerPro.exe
Progress Telerik Fiddler Web Debugger.exe
HTTP Debugger Pro.exe
Wireshark.exe
API 測試工具：
Postman.exe
Insomnia.exe
HTTP Toolkit.exe
安全工具：
BurpSuiteCommunity.exe（Burp Suite Community Edition）
文件監(jiān)控工具：
FolderChangesView.exe

之后通過調(diào)用 TerminateProcess 終止調(diào)試進程，阻止安全工具的運行。

結(jié)束進程

之后，腳本通過Base64解碼生成disabledefender.ps1 和 disabledefenderv2.ps1兩個PowerShell腳本。這些腳本執(zhí)行以下惡意操作。

修改Windows Defender排除項：將整個C盤添加到Windows Defender的排除列表中，使Defender無法掃描和檢測C盤中的惡意文件。
禁用系統(tǒng)還原功能：關(guān)閉系統(tǒng)還原功能，阻止用戶通過系統(tǒng)還原點恢復系統(tǒng)。
刪除卷影副本：清除所有卷影副本（Shadow Copy），徹底刪除系統(tǒng)備份，使用戶無法通過備份恢復數(shù)據(jù)。

添加Defender排除項

之后，腳本從GitHub下載包含后門功能和Lumma Stealer的壓縮包文件。具體信息如下。

GitHub下載鏈接：
https://github.com/nguyendeptrai2004/ARFramework/releases/download/Muck/BitDefender.7z
解壓密碼：
SaToshi780189.!

下載惡意文件主體

GitHub鏈接

解壓文件

執(zhí)行隱藏文件夾。

隱藏文件夾

之后將解壓之后的taskhostw.exe添加到計劃任務執(zhí)行C2功能。

添加計劃任務

2.3 lumma stealer

解壓出來的NVIDIA Control Panel.exe負責執(zhí)行l(wèi)umma stealer功能，該樣本同樣是一個Electron程序。對其進行分析，其采用API竊取以下信息。

Cookie
Reddit
instagram
tiktok
spotify
Netflix
GitHub
Roblox
Email
ChatGPT
Valorant 無畏契約
SQLite數(shù)據(jù)庫
獲取OpenVPN信息
獲取Electronic Arts配置信息
獲取聊天軟件信息
Discord
Telegram
獲取游戲信息
EpicGamesLauncher
RiotGames
Steam

竊取Cookie

2.4 后門分析

解壓后得到的 Taskhostw.exe 是一個負責實現(xiàn)C2（命令與控制）功能的Electron程序。對其進行解包操作后，發(fā)現(xiàn)該樣本同樣采用了大量代碼混淆和膨脹技術(shù)。通過解混淆分析，其核心邏輯如下。

進程注入：
該樣本通過進程注入技術(shù)實現(xiàn)其惡意功能，具體利用以下合法程序作為注入目標。
RegAsm.exe：.NET程序集注冊工具，被用于加載惡意代碼。
DWWIN.exe：Windows錯誤報告工具，被用于隱藏惡意行為。
多次注入：
樣本通過多次注入的方式，將惡意代碼加載到不同的進程中，以規(guī)避檢測并實現(xiàn)持久化。
C2功能：
注入成功后，樣本與遠程C2服務器建立通信，接收攻擊者指令，執(zhí)行包括遠程控制、數(shù)據(jù)竊取、文件操作等惡意行為。

樣本將加密的后門模塊打包進Electron程序，首先采用PowerShell方式對后門模塊進行AES加鹽解密。

AES加鹽解密

提取出來解密算法如下。

解密算法

對應的解密腳本。

解密腳本

解密之后的8個后門模塊中，包括.NET程序的后門、shellcode形式的后門以及剪貼板盜竊替換程序。其中，.NET程序在初始時通過進程注入的方式，將其核心Rat_PE完整地注入到RegAsm.exe進程中。而shellcode版本的后門則采用內(nèi)存加載.NET PE程序的方式執(zhí)行惡意代碼。以下是具體信息。

boot和Kernel：這兩個模塊是AsyncRAT的后門，AsyncRAT是一種開源的遠程訪問工具（RAT），通過安全加密連接實現(xiàn)遠程監(jiān)控和控制。
thread：該模塊用于監(jiān)聽、替換和上傳剪貼板信息。
magnify：該模塊是Quasar的后門，Quasar是一款使用C#編寫的快速、輕量級的遠程管理工具，開源。
cryptwizard：該模塊是Remcos的后門，Remcos是一種遠程訪問木馬工具，未開源。
boot_f和Kernel_f：這兩個模塊是AsyncRAT的shellcode版本，通過內(nèi)存加載的方式執(zhí)行惡意代碼。
thread_f：該模塊是剪貼板盜竊程序的shellcode版本，同樣通過內(nèi)存加載的方式執(zhí)行惡意代碼。