北京
過去一年,GitHub上被標記的惡意倉庫數量翻了3倍。但這場代號"TroyDen's Lure Factory"的 campaign,把偽裝精度抬到了新高度——它沒偷代碼,而是直接造了一整個可信的開發(fā)生態(tài)。
Netskope Threat Labs 的研究員在排查一個異常流量時,發(fā)現了這個橫跨開發(fā)者、游戲玩家、Roblox用戶和加密貨幣持有者的釣魚網絡。攻擊者用AI批量生成300多個投遞包,每個都針對特定人群的需求定制誘餌。
一個568星開發(fā)者的"幽靈項目"
整個陷阱的核心是倉庫 AAAbiola/openclaw-docker。它偽裝成合法OpenClaw AI項目的Docker部署工具,README寫得像模像樣,Windows和Linux雙平臺安裝指南齊全,還配了獨立的GitHub.io頁面。
contributors列表里有個賬號擁有568星的真實項目,這種"借殼"操作讓倉庫看起來像是正經開發(fā)者的副業(yè)。攻擊者還注冊了大批僵尸號刷星標和fork,標簽精準打上ai-agents、docker、openclaw、LLM——全是開發(fā)者高頻搜索詞。
Netskope的研究員發(fā)現,這個倉庫的命名規(guī)律暴露了AI參與的痕跡。300多個投遞包的目錄名混雜著冷門生物分類學術語、古拉丁語和醫(yī)學詞匯,「這種組合不像人類會用的命名習慣」,報告里寫道。
攻擊者把GitHub的搜索算法當成了免費廣告位
受害者一旦下載,惡意ZIP包里藏著三重機關:Launch.bat批處理文件、改名后的LuaJIT運行時unc.exe、以及偽裝成license.txt的混淆Lua腳本。單獨提交任何一份到自動掃描平臺,結果都是"干凈"的。
只有當bat文件按特定順序調用另外兩個組件,惡意代碼才會激活。這直接利用了主流沙箱的弱點——它們習慣把文件拆開分析,而不是模擬完整的執(zhí)行鏈條。
激活后的payload會執(zhí)行五層反分析檢測:查調試器、看內存大小、測系統(tǒng)運行時長、掃進程列表、驗屏幕分辨率。任何一條沒過,就原地休眠,不留下可追蹤的行為指紋。
法蘭克福的8臺服務器與2025年6月的Telegram頻道
所有成功感染的機器,第一時間會被定位地理坐標,完整桌面截圖直傳法蘭克福的C2集群。后端用了8個IP做負載均衡,架構明顯是為大規(guī)模并發(fā)設計的。
研究員順藤摸瓜,找到一個2025年6月就注冊的Telegram頻道@NumberLocationTrack,運營者署名TroyDen。這意味著GitHub倉庫上線前,攻擊者的基礎設施已經運轉了數月。
誘餌類型鋪得極散:游戲外掛、手機追蹤器、VPN破解工具、Roblox腳本——全是灰色需求旺盛的領域。每個細分人群都有自己的"專屬倉庫",但后臺連的是同一套德國服務器。
這種"分倉運營、統(tǒng)一收割"的模式,讓單點暴露的風險被攤薄到接近零
LuaJIT的選擇本身也是技術考量的結果。這種即時編譯的Lua方言,能把腳本打包成接近原生二進制性能的執(zhí)行文件,同時保持腳本語言的靈活性。對攻擊者來說,這意味著更容易混淆、更難被靜態(tài)分析工具拆解。
Netskope的檢測數據顯示,這類"分體式payload"的檢出率比傳統(tǒng)單文件木馬低40%以上。不是因為殺毒軟件變弱了,而是自動化分析管道天生擅長看"一個文件在干什么",而不是"三個文件配合起來會干什么"。
當開源平臺的信任機制成為攻擊面
GitHub的星標、fork數、contributor頭像、README排版——這些原本幫開發(fā)者快速判斷項目質量的信號,被攻擊者系統(tǒng)性地逆向工程成了信任制造流水線。
568星的真實開發(fā)者賬號怎么被卷入的?目前尚無定論。可能是被盜用的身份,也可能是攻擊者自己養(yǎng)號多年的長線投資。無論哪種,都說明這個 threat actor 的資源投入遠超普通黑產團伙。
Roblox玩家和加密貨幣用戶被同時 targeting 也不是偶然。兩個群體重疊度高:年輕、技術好奇心強、愿意為了"優(yōu)勢"冒險運行來路不明的代碼,且數字資產變現路徑短。
「我們觀察到攻擊者在 Telegram 頻道里測試新誘餌的轉化率」,Netskope 研究員在報告中提到。這種"敏捷開發(fā)"式的攻擊迭代,讓防御方很難用靜態(tài)情報庫跟上節(jié)奏。
GitHub 官方在 Netskope 披露后下架了相關倉庫,但攻擊者的賬號體系、僵尸號網絡、以及那8臺法蘭克福服務器背后的基礎設施,大概率已經遷移到了新的偽裝項目下。
對于每天依賴GitHub搜索框找工具的開發(fā)者來說,下次看到"安裝前關閉殺毒軟件"的提示時,你會先檢查倉庫的commit歷史,還是直接點下那個綠色的Code按鈕?
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
