8 [GitHub开源项目被投毒后门病毒跟随开发流程传播蔓延]

置顶

学编程的闹钟

已于 2025-02-02 11:03:01 修改

阅读量3.7w

点赞数 32

分类专栏： GitHub 文章标签： github 开源

于 2025-01-23 21:10:20 首次发布

本文链接：https://blog.youkuaiyun.com/vbnetcx/article/details/145329355

版权

现如今，代码的开放给软件开发提供了诸多便利，GitHub就是其中极具代表性的平台。然而随着“开放”逐渐广泛，其被恶意利用的风险也随之增加。近年来，一种隐蔽又危险的攻击手段——代码投毒，悄悄成了威胁开发者和用户安全的隐患。攻击者会在开源项目或代码库里植入有害代码，这些看似正常的代码，一旦被开发者无意中引入，就会在开发链条中蔓延，最终让用户也面临安全风险。

近期，火绒威胁情报中心监测到一批GitHub投毒的恶意样本。经火绒工程师分析，该木马利用多种编程语言（包括JavaScript、VBS、PowerShell、C#、C++）构建复杂的进程链，最终实现恶意后门木马功能。这种投毒攻击方式不仅隐蔽性强，还可能通过软件供应链传播到更广泛的用户群体中。目前，火绒安全产品已具备对该类GitHub投毒样本的精准识别能力，能够有效阻断其加载过程，为用户系统提供可靠的安全保障。为了进一步增强系统防护能力，火绒安全建议广大用户及时更新病毒库。这将确保您的系统能够抵御最新威胁，防范潜在安全风险。

查杀图

一、GitHub投毒事件及潜在风险

尽管此类攻击看似主要针对开发者，但其潜在影响却远不止于此，甚至可能波及每一位普通用户。以下将详细介绍此类攻击的运作方式及其可能带来的风险，希望广大用户在了解后能够进一步提升终端安全防护意识。

攻击的起点——开发者

攻击者利用GitHub等开源平台的开放性，将恶意代码伪装成正常工具，诱骗开发者下载和使用。而近年来，GitHub投毒攻击已成为网络安全领域备受关注的热点话题。开发者作为软件的构建者，一旦不慎落入陷阱，这些恶意代码便会悄无声息地潜入他们的开发环境。而开发者编写的代码和使用的工具，最终将会转化为我们日常生活中所依赖的应用程序和服务。因此，一旦开发环境被污染，安全隐患便会顺着开发流程蔓延，进而影响到每一位普通用户。

供应链的连锁反应

在软件开发的生态系统中，开发者所使用的工具和库往往会通过软件供应链传播到更广泛的应用中，它们会通过层层传递，融入到更广泛的应用程序中。例如：

一个被篡改的开源库可能被集成到多个软件项目中。由于开源库的广泛使用和高度共享性，这种篡改行为很容易在软件开发过程中传播开来。
这些软件项目最终会发布到应用商店，或者通过更新机制推送到用户的设备上。在这个过程中，恶意代码可能会随着软件的分发而扩散到用户手中。

因此，即使我们从未直接接触过GitHub或开源代码，也可能因为使用了某个被感染的软件而成为受害者。

潜在风险

隐私泄露：恶意代码可能会窃取个人信息，如账号密码、浏览器Cookies等。
远程控制：攻击者可能通过远程访问工具控制设备，甚至监控使用者的一举一动。
经济损失：窃取的信息可能被用于欺诈或勒索，导致使用者遭受财产损失。
数据勒索：恶意代码可能导致设备运行缓慢、频繁崩溃，以及加密数据以勒索设备拥有者。

而火绒威胁情报中心监测到的这一批恶意样本，就存在盗取信息导致隐私泄露、远程控制等风险，以下为样本分析内容。

二、样本分析

执行流程图

2.1 样本信息

该样本通过利用Visual Studio的PreBuildEvent机制执行恶意命令，生成VBS脚本以下载7z解压工具和恶意压缩包SearchFilter.7z。解压后，样本加载一个基于Electron框架的程序，该程序具备反调试和虚拟机检测功能，能够规避安全分析环境。随后，程序从GitHub下载并解压第二个恶意压缩包BitDefender.7z，进一步释放多个恶意模块，包括后门工具（如AsyncRAT、Quasar、Remcos）、剪贴板劫持组件以及Lumma Stealer窃密木马。

这些模块共同构建了一个多层次、功能完备的恶意行为链，能够实现远程控制、剪贴板内容篡改、浏览器Cookie及其他敏感信息窃取等破坏性操作，对用户系统安全构成严重威胁。

2.2 Loader动静态分析

首先，病毒利用GitHub进行传播，通过Visual Studio的PreBuildEvent命令执行cmd命令。