vbnetcx的博客

对其进行解混淆，分析其为注入器代码，解密内存中的PE，并将其注入到C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\RegAsm.exe。这些脚本执行以下恶意操作。模块进行分析，发现其是剪贴板程序，其主要负责监控剪贴板信息，并匹配剪贴板首字符替换相应的矿池地址，并将其原始剪贴板信息发送到Telegram Bot，其。在软件开发的生态系统中，开发者所使用的工具和库往往会通过软件供应链传播到更广泛的应用中，它们会通过层层传递，融入到更广泛的应用程序中。

通过对 .suo 文件的深入分析，该工具可以分析 Visual Studio 文件的安全性，防止类似攻击造成的进一步损害。综上，Sharp4SuoBrowser.exe 提供了强大的功能，帮助安全研究人员深入了解和分析 .suo 文件的内容。Sharp4SuoBrowser.exe 可以快速扫描 .suo 文件中的所有键，支持查看指定键名的内容，内容默认以十六进制显示。通过此工具，您可以轻松列出 .suo 文件中的键名并查看指定键的具体内容，便于分析 .suo 文件内部的结构和数据。

在Github上APT组织“海莲花”发布存在后门的提权BOF，通过该项目针对网络安全从业人员进行钓鱼。不过其实早在几年前就已经有人对Visual Studio项目恶意利用进行过研究，所以投毒的手法也不算是新的技术。但这次国内有大量的安全从业者转发该钓鱼项目导致此次事件的重要性，于是就有了这个“标题党”。目前该钓鱼账号已经注销。

微步测绘数据关联发现，该组织在此攻击活动的资产不仅限于单一的C2资产，攻击资产存在较为显著的端口测绘特征，本次海莲花组织开始活跃攻击时间范围大致在9月中旬到10月初，根据测绘数据以及海莲花本批攻击的样本编译时间判断，在资产部署时间上基本吻合。2024年10月14号和10月21号，攻击者共发布两个恶意投毒项目，内容为国内常用红队工具Cobalt Strike 的插件，包含新的漏洞利用功能，攻击者在项目介绍中使用中文描述，以此来吸引更多的国内安全行业目标人员。

自北京时间 2024.12.4 晚间6点起， GitHub 上不断出现“幽灵仓库”，仓库中没有任何代码，只有诱导性的病毒文件。当天，他们成为了 GitHub 上 star 增速最快的仓库。超过 180 个虚假僵尸账户正在传播病毒，等待不幸者上钩。而这一切被一位中国开发者--我收在眼底。经过几天的探测寻找，疑似找到了攻击者的真身。

通过github投毒的攻击事件之前发生过不少，笔者此前也分析过好几例，有些网友也给笔者发过一些相关的攻击样本，大家从网上下载的安全工具或免杀工具一定不要随便在自己机器上运行，很有可能这些工具就自带后门木马，偷偷摸摸就给你安装了一个后门在你电脑上监控你。

近日，有黑客针对 Discord Top.gg 的GitHub 账户发起了供应链攻击，此次攻击导致账户密码、凭证和其他敏感信息被盗，同时也影响到了大量开发人员。Checkmarx 在一份技术报告中提到，黑客在这次攻击中使用了多种TTP，其中包括窃取浏览器cookie接管账户、通过验证提交恶意代码、建立自定义Python镜像，以及向PyPI注册表发布恶意软件包等。Checkmarx 指出，黑客对该平台频繁发起攻击的主要目的很可能是窃取数据并通过出售窃取的信息实现盈利。

攻击者可能通过收集原仓库 commit 信息，而后生成与之相似的结果，例如与代码变更相符的 Update README.md 或 Update license 提交，体现了攻击者有较强的工程化能力。当前被投毒的仓库已经被 GitHub 官方删除，这些仓库大多无人关注，因此此次事件本身的实际影响较小，开发者在使用开源组件时需要注意甄别。由于被投毒的开源仓库大多无人关注，预计此次事件本身的实际影响较小，但从攻击手法上来看体现了攻击者有较强的工程化利用能力。恶意代码中的 C& C地址。