现如今,代码的开放给软件开发提供了诸多便利,GitHub就是其中极具代表性的平台。然而随着“开放”逐渐广泛,其被恶意利用的风险也随之增加。近年来,一种隐蔽又危险的攻击手段——代码投毒,悄悄成了威胁开发者和用户安全的隐患。攻击者会在开源项目或代码库里植入有害代码,这些看似正常的代码,一旦被开发者无意中引入,就会在开发链条中蔓延,最终让用户也面临安全风险。
近期,火绒威胁情报中心监测到一批GitHub投毒的恶意样本。经火绒工程师分析,该木马利用多种编程语言(包括JavaScript、VBS、PowerShell、C#、C++)构建复杂的进程链,最终实现恶意后门木马功能。这种投毒攻击方式不仅隐蔽性强,还可能通过软件供应链传播到更广泛的用户群体中。目前,火绒安全产品已具备对该类GitHub投毒样本的精准识别能力,能够有效阻断其加载过程,为用户系统提供可靠的安全保障。为了进一步增强系统防护能力,火绒安全建议广大用户及时更新病毒库。这将确保您的系统能够抵御最新威胁,防范潜在安全风险。
查杀图
一、GitHub投毒事件及潜在风险
尽管此类攻击看似主要针对开发者,但其潜在影响却远不止于此,甚至可能波及每一位普通用户。以下将详细介绍此类攻击的运作方式及其可能带来的风险,希望广大用户在了解后能够进一步提升终端安全防护意识。
攻击的起点——开发者
攻击者利用GitHub等开源平台的开放性,将恶意代码伪装成正常工具,诱骗开发者下载和使用。而近年来,GitHub投毒攻击已成为网络安全领域备受关注的热点话题。开发者作为软件的构建者,一旦不慎落入陷阱,这些恶意代码便会悄无声息地潜入他们的开发环境。而开发者编写的代码和使用的工具,最终将会转化为我们日常生活中所依赖的应用程序和服务。因此,一旦开发环境被污染,安全隐患便会顺着开发流程蔓延,进而影响到每一位普通用户。
供应链的连锁反应
在软件开发的生态系统中,开发者所使用的工具和库往往会通过软件供应链传播到更广泛的应用中,它们会通过层层传递,融入到更广泛的应用程序中。例如:
- 一个被篡改的开源库可能被集成到多个软件项目中。由于开源库的广泛使用和高度共享性,这种篡改行为很容易在软件开发过程中传播开来。
- 这些软件项目最终会发布到应用商店,或者通过更新机制推送到用户的设备上。在这个过程中,恶意代码可能会随着软件的分发而扩散到用户手中。
因此,即使我们从未直接接触过GitHub或开源代码,也可能因为使用了某个被感染的软件而成为受害者。
潜在风险
- 隐私泄露:恶意代码可能会窃取个人信息,如账号密码、浏览器Cookies等。
- 远程控制:攻击者可能通过远程访问工具控制设备,甚至监控使用者的一举一动。
- 经济损失:窃取的信息可能被用于欺诈或勒索,导致使用者遭受财产损失。
- 数据勒索:恶意代码可能导致设备运行缓慢、频繁崩溃,以及加密数据以勒索设备拥有者。
而火绒威胁情报中心监测到的这一批恶意样本,就存在盗取信息导致隐私泄露、远程控制等风险,以下为样本分析内容。
二、样本分析
执行流程图
2.1 样本信息
该样本通过利用Visual Studio的PreBuildEvent机制执行恶意命令,生成VBS脚本以下载7z解压工具和恶意压缩包SearchFilter.7z。解压后,样本加载一个基于Electron框架的程序,该程序具备反调试和虚拟机检测功能,能够规避安全分析环境。随后,程序从GitHub下载并解压第二个恶意压缩包BitDefender.7z,进一步释放多个恶意模块,包括后门工具(如AsyncRAT、Quasar、Remcos)、剪贴板劫持组件以及Lumma Stealer窃密木马。
这些模块共同构建了一个多层次、功能完备的恶意行为链,能够实现远程控制、剪贴板内容篡改、浏览器Cookie及其他敏感信息窃取等破坏性操作,对用户系统安全构成严重威胁。
2.2 Loader动静态分析
首先,病毒利用GitHub进行传播,通过Visual Studio的PreBuildEvent命令执行cmd命令。
测试执行calc
配置文件
以下是GitHub中Apex-Legends-External-Cheat-Hack-Trigger-Glow-Aimbot-Skin-More-Hwid-Spoofer外挂作弊软件项目中的恶意命令。
恶意命令
对其执行的命令进行分析,发现攻击者采用了Base64加密的VBS脚本。解密后,脚本内容被写入到名为b.vbs的文件中。
Base64加密
对其进行解密。
解密
解密后的VBS脚本通过反转字符串、Base64解码等方式对混淆内容进行处理,并利用Invoke-Expression执行解码后的指令。此外,脚本通过调用pWN $bnb来运行隐藏的恶意逻辑。
解密VBS脚本
最终解密之后是一段PowerShell脚本,主要功能如下。