HackerNews 编译，转载请注明出处： 网络安全研究人员展示了一种新技术，使恶意网络浏览器扩展能够伪装成任何已安装的插件。 “多态扩展创建了目标图标的像素级复制品、HTML弹出窗口、工作流程，甚至暂时禁用合法扩展，使受害者极易相信他们是在向真实扩展提供凭据，”SquareX在上周发布的一份报告中表示。 收集到的凭据随后可能被威胁者滥用，以劫持在线账户并获取未经授权的敏感个人和财务信息访问权限。这次攻击影响了所有基于Chromium的网络浏览器，包括谷歌Chrome、微软Edge、Brave、Opera等。 这种方法利用了用户通常会将扩展程序钉选到浏览器工具栏的事实。在假设的攻击场景中，威胁者可以将多态扩展发布到Chrome网络商店（或任何扩展市场）并将其伪装成实用程序。 网络安全研究人员指出，虽然该插件提供了广告宣传的功能以免引起怀疑，但它在后台通过主动扫描与特定目标扩展相关的网络资源（使用一种称为网络资源撞击的技术）来激活恶意功能。 一旦识别出合适的目标扩展，攻击便会进入下一阶段，导致其变成合法扩展的复制品。这是通过将恶意扩展的图标更改为与目标匹配，并通过“chrome.management”API暂时禁用实际插件来实现的，这会导致它从工具栏中被移除。 “多态扩展攻击极为强大，因为它利用了人类依赖视觉线索进行确认的倾向，”SquareX表示。“在这种情况下，工具栏上扩展图标用于告知用户他们正在交互的工具。” 这一发现是在该公司一个月前披露另一种名为“浏览器同步劫持”的攻击方法之后得出的，该方法可以通过看似无害的浏览器扩展来控制受害者的设备。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 现年55岁的休斯顿居民戴维斯·卢（Davis Lu）被判定有罪，他曾在被降职后，通过运行自定义恶意软件并在前雇主的系统中安装“kill switch”来破坏其系统。 卢自2007年11月至2019年10月在俄亥俄州的一家公司（据称为伊顿公司）担任软件开发者。 伊顿公司是一家全球性的电力管理公司，为各行各业提供电气、液压和机械解决方案。 2018年公司重组后，卢在工作中失去了部分职责，并被判定通过自定义恶意软件和“kill switch”破坏了雇主的计算机系统和网络。 恶意活动包括运行“无限循环”的代码，耗尽生产服务器的资源，最终导致系统崩溃并阻止用户登录。这些无限循环通过反复生成新线程而不正确终止来耗尽Java线程。 根据卢的起诉书，他还删除了同事的用户配置文件，并设置了一个“kill switch”，如果他在公司的Windows活动目录中的账户被禁用，该“kill switch”将锁定所有用户。这个“kill switch”代码名为“IsDLEnabledinAD”，是“Is Davis Lu enabled in Active Directory”的缩写。 当卢在2019年9月9日被解雇时，“kill switch”被自动触发，导致数千名员工无法访问系统。 在他被要求归还公司笔记本电脑的当天，卢据称删除了加密数据。 美国司法部表示，互联网搜索查询还显示卢曾研究提升权限、隐藏进程和快速删除文件的方法。 美国司法部称，卢的行为和系统中断给公司带来了数十万美元的损失。 陪审团判定卢故意破坏受保护的计算机，这一罪名最高可判处10年监禁。宣判日期尚未确定。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为 “set-utils” 的恶意 Python Package Index (PyPI) 软件包，通过拦截钱包创建功能窃取以太坊私钥，并通过 Polygon 区块链发送出去。 该软件包伪装成一个 Python 工具，模仿了拥有超过 7.12 亿次下载的热门 “python-utils” 以及拥有超过 2350 万次安装的 “utils”。 开发人员网络安全平台 Socket 的研究人员发现了这个恶意软件包，并报告说自 2025 年 1 月 29 日在 PyPI 上提交以来，“set-utils” 已经被下载了上千次。 该开源供应链安全公司表示，攻击主要针对使用 “eth-account” 进行钱包创建和管理的区块链开发人员、基于 Python 的 DeFi 项目、支持以太坊的 Web3 应用以及使用 Python 自动化的个人钱包。 以太坊私钥的隐秘盗窃 该恶意软件包嵌入了攻击者的 RSA 公钥，用于加密被盗数据，以及一个由攻击者控制的以太坊发送账户。 该软件包会钩入标准的以太坊钱包创建函数，如 “from_key()” 和 “from_mnemonic()”，在受感染的机器上生成私钥时拦截这些私钥。 然后它会加密被盗的私钥，并将其嵌入到以太坊交易的数据字段中，再通过 Polygon RPC 端点 “rpc-amoy.polygon.technology/” 发送给攻击者的账户。 窃取的私钥外泄 与其他传统的网络数据窃取方法相比，将窃取的数据嵌入以太坊交易中更为隐蔽，也更难与合法活动区分开来。 防火墙和杀毒软件通常会监控 HTTP 请求，但不会监控区块链交易，因此这种做法不太可能引起警报或被阻止。 此外，Polygon 交易的处理费用很低，小额交易没有速率限制，还提供免费的公共 RPC 端点，因此威胁行为者不需要建立自己的基础设施。 一旦外泄过程完成，攻击者可以随时检索被盗数据，因为这些信息被永久地存储在区块链上。 “set-utils” 软件包在被发现后已从 PyPI 上移除。然而，已经将其纳入项目的用户和软件开发人员应立即卸载它，并假设创建的任何以太坊钱包都已被危及。 如果这些钱包中包含资金，建议尽快将它们转移到另一个钱包，因为这些钱包中的资金随时都可能被盗。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 通过从 Google Play 移除 24 个恶意应用，并阻断 50 万台受感染设备的通信，BadBox Android 恶意软件僵尸网络再次被成功阻断。 BadBox 僵尸网络主要针对廉价的 Android 设备，如电视流媒体盒、平板电脑、智能电视和智能手机。这些设备要么在出厂时就预装了 BadBox 恶意软件，要么通过恶意应用或固件更新被感染。 一旦感染，这些设备就会变成住宅代理，生成虚假的广告印象，将用户重定向到低质量域名，并利用设备的 IP 地址创建虚假账户。 去年 12 月，德国当局成功阻断了该国受感染设备的恶意软件。然而，几天后，BitSight 报告称，恶意软件在至少 192,000 台设备上被发现，显示出对执法行动的抵抗能力。 据估计，该僵尸网络已增长到超过 100 万次感染，影响了 222 个国家的 Android 设备，其中大部分位于巴西（37.6%）、美国（18.2%）、墨西哥（6.3%）和阿根廷（5.3%）。 HUMAN 的 Satori 威胁情报团队与 Google、Trend Micro、Shadowserver 基金会和其他合作伙伴合作，领导了最新的阻断行动。 由于僵尸网络的规模突然扩大，HUMAN 现在将其称为“BadBox 2.0”，标志着其运营的新时代。 HUMAN 表示，受 BadBox 2.0 影响的设备包括低价的“非品牌”、未认证的平板电脑、联网电视盒、数字投影仪等。所有这些设备都是在中国大陆制造的，并销往全球。HUMAN 观察到 BadBox 2.0 相关的流量来自全球 222 个国家和地区。 HUMAN 发现，僵尸网络由多个威胁组织支持，这些组织具有不同的角色或利益。这些组织包括 SalesTracker（基础设施管理）、MoYu（后门和僵尸网络开发）、Lemon（广告欺诈活动）和 LongTV（恶意应用开发）。 受感染的设备会定期连接到攻击者控制的命令和控制服务器，以接收新的配置设置和要在受感染设备上执行的命令。 HUMAN 告诉 BleepingComputer，他们与 Shadowserver 基金会合作，对 BadBox 2.0 的域名进行了阻断，防止 50 万台受感染设备与攻击者设置的命令和控制（C2）服务器通信。 当域名被阻断时，研究人员会接管该域名，允许他们监控所有连接到该域名的受感染设备，并收集关于僵尸网络的数据。由于受感染设备无法再连接到攻击者控制的域名，恶意软件进入休眠状态，从而有效阻断了感染。 HUMAN 还发现 Google Play 中有 24 个 Android 应用安装了 BadBox 恶意软件。其中一些应用，如“Earn Extra Income”和“Pregnancy Ovulation Calculator”（由 Seekiny Studio 开发），每个应用的下载量都超过 5 万次。 Google 已将这些应用从 Google Play 中移除，并添加了一条 Play Protect 强制规则，以警告用户并阻止在认证的 Android 设备上安装与 BadBox 2.0 相关的应用。 此外，这家科技巨头已终止了参与 BadBox 活动的广告欺诈的发布商账户，防止通过 Google Ads 进行盈利。 然而，需要注意的是，Google 无法对全球销售的非 Play Protect 认证的 Android 设备进行消毒，因此虽然 BadBox 2.0 已被阻断，但并未被完全消除。 只要消费者继续购买基于 Android 开源项目（AOSP）的设备，如非品牌的电视盒，这些设备缺乏官方的 Google Play 服务支持，就存在使用预装恶意软件的硬件的风险。 对此，Google 的 Android 安全与隐私工程与保证总监 Shailesh Saini 表示：“我们很高兴与 HUMAN 合作，采取行动对抗 BadBox 操作，保护消费者免受欺诈。受感染的设备是 Android 开源项目设备，而不是 Android TV OS 设备或 Play Protect 认证的 Android 设备。” “如果设备未获得 Play Protect 认证，Google 将不会记录安全性和兼容性测试结果。Play Protect 认证的 Android 设备会经过广泛的测试，以确保质量和用户安全。用户应确保启用了 Google Play Protect，这是 Android 的恶意软件保护功能，默认情况下在具有 Google Play 服务的设备上启用。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正在警告一个针对 Go 生态系统的恶意活动，该活动使用拼写错误的模块，旨在在 Linux 和苹果 macOS 系统上部署加载器恶意软件。 “威胁行为者已经发布了至少七个模仿广泛使用的 Go 库的软件包，其中包括一个（github[.]com/shallowmulti/hypert）似乎针对金融行业开发者的软件包，”Socket 研究员基里尔·博伊琴科（Kirill Boychenko）在一份新报告中表示。 “这些软件包共享重复的恶意文件名和一致的混淆技术，表明了一个有协调的威胁行为者，能够迅速调整策略。” 这些恶意软件包通过 Go 模块镜像缓存机制来实现持久的远程访问。一旦安装，这些软件包会授予攻击者对受感染系统的远程访问权限，使他们能够执行任意命令。 攻击者利用了 Go 模块镜像服务的缓存机制，即使原始源代码库中的标签被修改，已缓存的恶意版本仍可供下载。这种欺骗性的方法确保对 GitHub 存储库的手动审核不会发现任何恶意内容，而缓存机制意味着使用 go CLI 安装包的开发者会继续下载带有后门的变体。 以下是被发现的恶意 Go 软件包列表： shallowmulti/hypert (github.com/shallowmulti/hypert) shadowybulk/hypert (github.com/shadowybulk/hypert) belatedplanet/hypert (github.com/belatedplanet/hypert) thankfulmai/hypert (github.com/thankfulmai/hypert) vainreboot/layout (github.com/vainreboot/layout) ornatedoctrin/layout (github.com/ornatedoctrin/layout) utilizedsun/layout (github.com/utilizedsun/layout) 这些恶意软件包的设计目的是实现远程代码执行。这是通过运行一个混淆的 shell 命令来完成的，该命令从远程服务器（”alturastreet[.]icu”）检索并运行一个脚本。为了逃避检测，远程脚本在一段时间后才会被检索。 攻击的最终目标是安装并运行一个可执行文件，该文件可能会窃取数据或凭证。 安全研究人员建议开发人员和安全团队监控利用缓存模块版本来逃避检测的攻击。他们还建议使用不可变模块版本来减少此类攻击的风险。 “由于不可变模块既提供了安全优势，也提供了潜在的滥用媒介，开发人员和安全团队应该监控利用缓存模块版本来逃避检测的攻击，”博伊琴科指出。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Xlab 调查，Vo1d 恶意软件僵尸网络的新变种已感染全球 226 个国家的 1,590,299 台 Android TV 设备，将其招募为匿名代理服务器网络的一部分。 Xlab 自去年 11 月以来一直在跟踪这场新的活动，并报告称该僵尸网络在 2025 年 1 月 14 日达到峰值，目前有 800,000 台活跃的僵尸设备。 2024 年 9 月，Dr.Web 杀毒研究人员发现，通过未知感染途径，Vo1d 恶意软件已在全球 200 个国家感染了 130 万台设备。 Xlab 的最新报告表明，Vo1d 僵尸网络的新版本继续在更大规模上运作，不受之前曝光的影响。 此外，研究人员强调，该僵尸网络已进化出高级加密（RSA + 自定义 XXTEA）、具有弹性的 DGA（域名生成算法）驱动的基础设施，以及增强的隐蔽能力。 Vo1d 僵尸网络的规模令人瞩目，使用的 32 个 DGA 种子可生成超过 21,000 个 C2（命令与控制）域名。C2 通信受到 2048 位 RSA 密钥的保护，即使研究人员识别并注册了 C2 域名，也无法向僵尸设备发出命令。 截至 2025 年 2 月，近 25% 的感染设备位于巴西，其次是南非（13.6%）、印度尼西亚（10.5%）、阿根廷（5.3%）、泰国（3.4%）和中国（3.1%）。 研究人员报告称，该僵尸网络出现了显著的感染激增情况，例如在印度，感染设备数量在短短三天内从 3,900 台激增至 217,000 台。 最大的波动表明，僵尸网络运营商可能在“出租”特定区域的设备作为代理服务器，这些服务器通常用于进行进一步的非法活动或自动化攻击。 “我们推测，‘快速激增后急剧下降’的现象可能是由于 Vo1d 将其僵尸网络基础设施出租给其他团体。以下是这种‘出租-归还’周期的工作原理： 出租阶段：在出租开始时，僵尸设备从主 Vo1d 网络转移到承租人的操作中。这种转移导致 Vo1d 的感染数量突然下降，因为僵尸设备暂时从其活跃池中移除。 归还阶段：一旦出租期结束，僵尸设备重新加入 Vo1d 网络。这种重新整合导致感染数量迅速激增，因为僵尸设备在 Vo1d 的控制下再次变得活跃。 这种‘出租和归还’的循环机制可以解释 Vo1d 在特定时间点的规模波动。” Vo1d 僵尸网络是一个多用途的网络犯罪工具，将受感染设备变成代理服务器，以促进非法活动。 受感染设备为网络犯罪分子中转恶意流量，隐藏其活动来源，并融入住宅网络流量中。这还帮助威胁行为者绕过区域限制、安全过滤和其他保护措施。 Vo1d 的另一个功能是广告欺诈，通过模拟广告点击或视频平台上的观看行为来为欺诈广告商生成收入。 该恶意软件具有特定的插件，可自动化广告互动并模拟类似人类的浏览行为，以及 Mzmess SDK，该 SDK 将欺诈任务分配给不同的僵尸设备。 由于感染链仍未知，建议 Android TV 用户采取全面的安全措施来应对 Vo1d 威胁。 首先，从信誉良好的供应商和可信的经销商处购买设备，以尽量减少从工厂或运输途中预装恶意软件的可能性。 其次，安装固件和安全更新至关重要，这些更新可以关闭可能被利用进行远程感染的漏洞。 第三，用户应避免下载 Google Play 以外的第三方应用程序或承诺扩展和“解锁”功能的第三方固件镜像。 如果不需要远程访问功能，应禁用 Android TV 设备的远程访问功能，而在不使用时将其断网也是一种有效的策略。 最终，物联网设备应在网络层面与存储敏感数据的贵重设备隔离。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为Winos 4.0的恶意软件正在通过伪装成台湾地区国税局的钓鱼邮件，针对中国台湾地区的公司展开攻击。 此次攻击活动由Fortinet FortiGuard Labs于上月发现，与以往利用恶意游戏相关应用程序的攻击链条有所不同。攻击者声称附件是“待税务检查的企业名单”，并要求收件人将其转发给公司财务主管。该附件伪装成财政部的官方文件，诱导收件人下载所谓的“待税务检查企业名单”，但实际上是一个包含恶意DLL文件（“lastbld2Base.dll”）的ZIP文件。该文件为下一阶段的攻击做准备，执行下载Winos 4.0模块的shellcode，该模块从远程服务器（“206.238.221[.]60”）下载并收集敏感数据。 Winos 4.0的登录模块具备多种功能，包括截屏、记录按键、修改剪贴板内容、监控连接的USB设备、运行shellcode，以及在Kingsoft Security和Huorong安全提示时允许执行敏感操作（例如cmd.exe）。Fortinet还发现了一个次要攻击链条，该链条可下载一个在线模块，用于截取微信和网上银行的屏幕截图。 值得注意的是，传播Winos 4.0恶意软件的入侵组织被命名为Void Arachne和银狐（Silver Fox），该恶意软件还与另一种名为ValleyRAT的远程访问木马存在重叠。Forescout Vedere Labs的安全研究主管Daniel dos Santos表示：“Winos和ValleyRAT都源自同一源头——Gh0st RAT，这是一种于2008年在中国开发并开源的恶意软件。” ValleyRAT最早于2023年初被发现，最近被观察到利用假冒Chrome网站作为传播渠道，感染使用中文的用户。类似的恶意下载方案也被用于传播Gh0st RAT。此外，Winos 4.0的攻击链条还整合了名为CleverSoar的安装程序，该程序通过伪装成假软件或游戏相关应用程序的MSI安装包执行。Rapid7在2024年11月底指出，CleverSoar安装程序会检查用户的语言设置，如果设置为中文或越南语以外的语言，安装程序将终止，从而防止感染。 与此同时，银狐APT组织还被发现利用被篡改的飞利浦（Philips）DICOM查看器版本部署ValleyRAT，随后用于投放键盘记录器和加密货币矿工。值得注意的是，这些攻击利用了TrueSight驱动程序的漏洞来禁用防病毒软件。Forescout表示：“此次攻击利用被篡改的DICOM查看器作为诱饵，感染受害者系统，部署用于远程访问和控制的后门（ValleyRAT）、用于捕获用户活动和凭据的键盘记录器，以及用于利用系统资源获取经济利益的加密货币矿工。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： “Have I Been Pwned”（HIBP）数据泄露通知服务新增了超 2.84 亿个被信息窃取恶意软件盗取且在一个 Telegram 频道上被发现的账户。 HIBP 创始人特洛伊・亨特表示，他在分析可能从多个来源收集并在一个名为 “ALIEN TXTBASE” 的 Telegram 频道上共享的 1.5TB 窃取日志时，发现了 284,132,969 个受到危害的账户。 “这些日志包含 230 亿行数据，涉及 4.93 亿个唯一的网站和电子邮件地址组合，影响了 2.84 亿个唯一的电子邮件地址，” 亨特在周二的博客中说道。 “我们还向 Pwned Passwords 添加了 2.44 亿个此前从未见过的密码，并更新了其中已有的另外 1.99 亿个密码的计数。” 由于此次收集的账户数量庞大，这些数据可能既包括通过凭证填充攻击和数据泄露被盗取的旧凭据，也包括新凭据。 在将被盗账户添加到 HIBP 数据库之前，特洛伊通过检查使用被盗电子邮件地址进行密码重置尝试是否会触发该服务发送密码重置电子邮件来确认其真实性。 借助新添加的 API（每分钟允许搜索多达 1000 个电子邮件地址以及窃取日志搜索），域名所有者和网站运营者（支付月订阅费用的）现在可以通过按电子邮件域名或网站域名查询添加的窃取日志来识别凭据被盗的客户。 当被问及普通用户是否也能知道他们的账户是否在 ALIEN TXTBASE 信息窃取日志中时，特洛伊称如果他们也订阅了 HIBP 通知服务的话，就可以知道。 “但如果他们使用通知服务来验证地址，它只会显示其凭据被捕获的网站，我不想公开显示这些信息，因为这可能会暴露对敏感服务的使用，” 他说道。 “今天推出这些新 API 将最终帮助许多组织确定恶意活动的来源，更重要的是，提前采取措施，在其造成损害之前阻止它，” 他补充道。 2021 年 12 月，HIBP 还添加了 44.1 万个账户，这些账户是在当时使用最广泛的信息窃取软件之一 RedLine 进行的信息窃取活动中被盗取的。这些数据在一个未受保护的服务器上被发现，该服务器暴露了 2021 年 8 月和 9 月收集的超过 600 万条 RedLine 日志。 更近一些，本月早些时候，HIBP 添加了 1200 万个 Zacks Investment 用户的账户，这些用户的敏感数据（包括姓名、用户名、电子邮件地址、IP 地址、实际地址和电话号码）在一次安全漏洞事件中被暴露。 两年前，即 2023 年 6 月，该漏洞通知服务还添加了另一个数据库，其中包含使用 Zacks 平台的另外 880 万个用户的电子邮件地址、用户名、未加盐的 SHA256 密码、地址、电话号码和全名。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自2019年以来，一个名为“automslc”的恶意PyPi包已从Python Package Index下载超过10万次，利用硬编码的凭据从Deezer流媒体服务盗取音乐。 Deezer是一个在180个国家可用的音乐流媒体服务，提供超过9000万首曲目、播放列表和播客。它通过广告支持的免费层级或付费订阅提供，付费订阅支持更高的音频质量和离线收听。 安全公司Socket发现了这个恶意包，并发现它通过硬编码Deezer凭据来下载媒体和抓取平台的元数据，从而盗取音乐。 尽管盗版工具通常不被视为恶意软件，但automslc使用命令与控制（C2）基础设施进行集中控制，可能会将不知情的用户纳入分布式网络。 此外，该工具可能很容易被用于其他恶意活动，因此其用户始终面临风险。 截至本文撰写时，automslc仍可在PyPI上下载。 该恶意包包含硬编码的Deezer账户凭据，用于登录服务，或使用用户提供的凭据创建与服务API的认证会话。 登录后，它请求曲目元数据并提取内部解密令牌，特别是Deezer用于URL生成的“MD5_ORIGIN”。 接下来，脚本使用内部API调用来请求完整长度的流媒体URL并检索整个音频文件，绕过了Deezer允许的30秒预览限制。 下载的音频文件以高质量格式存储在用户的设备上，允许离线收听和分发。 这违反了Deezer的服务条款和版权法，使用户在不知情的情况下面临风险。 automslc包可以不受限制地反复请求和下载曲目，实际上允许大规模盗版。 至于该包的制作者，Socket在各种账户和GitHub仓库上识别出别名“hoabt2”和“Thanh Hoa”，但他们的身份未知。 如果你将automslc作为独立工具使用或作为软件项目的一部分，要知道该工具允许非法活动，可能会给你带来麻烦。 C2导向的操作表明，威胁行为者正在积极监控和协调盗版活动，而不是简单地提供一个被动的盗版工具，这增加了未来更新中引入更多恶意行为的风险。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正在关注一场正在进行的活动，该活动以 GitHub 上托管的开源项目为幌子，针对游戏玩家和加密货币投资者。 这场活动涉及数百个代码仓库，已被卡巴斯基命名为 GitVenom。 “这些受感染的项目包括用于管理 Instagram 账户的自动化工具、可远程管理比特币钱包的 Telegram 机器人以及用于玩Valorant 游戏的破解工具，”这家俄罗斯网络安全供应商表示。 “所有这些所谓项目功能都是虚假的，活动背后的网络犯罪分子窃取了个人和银行数据，并从剪贴板中劫持了加密钱包地址。” 此次恶意活动已促成 5 个比特币的盗窃，截至发稿时价值约 456,600 美元。据信，这场活动已持续至少两年，当时一些虚假项目被发布。大多数感染尝试记录在俄罗斯、巴西和土耳其。 这些项目使用多种编程语言编写，包括 Python、JavaScript、C、C++ 和 C#。但无论使用何种语言，最终目标都是一样的：启动嵌入的恶意负载，该负载负责从攻击者控制的 GitHub 代码仓库中检索额外组件并执行它们。 其中最突出的是一个 Node.js 信息窃取程序，它收集密码、银行账户信息、保存的凭据、加密货币钱包数据和网络浏览历史；将这些信息压缩成 .7z 压缩包，并通过 Telegram 泄露给威胁行为者。 通过这些虚假的 GitHub 项目下载的还有远程管理工具，如 AsyncRAT 和 Quasar RAT，可用于控制受感染的主机，以及剪贴板劫持恶意软件，可将复制到剪贴板的钱包地址替换为攻击者控制的钱包地址，从而将数字资产重定向到威胁行为者。 “由于像 GitHub 这样的代码共享平台被全球数百万开发人员使用，威胁行为者将来肯定会继续使用虚假软件作为感染诱饵，”卡巴斯基研究员 Georgy Kucherin 表示。 “因此，在处理第三方代码时必须非常小心。在尝试运行此类代码或将其集成到现有项目之前，彻底检查其执行的操作至关重要。” 这一事件发生之际，Bitdefender 揭露了诈骗者正在利用 IEM Katowice 2025 和 PGL Cluj-Napoca 2025 等重大电子竞技赛事，针对《反恐精英 2》（CS2）玩家进行欺诈。（详见：https://hackernews.cc/archives/57534） “通过劫持 YouTube 账户来冒充 s1mple、NiKo 和 donk 等职业玩家，网络犯罪分子诱骗粉丝参与欺诈性的 CS2 皮肤赠送活动，导致 Steam 账户被盗、加密货币失窃以及 valuable in-game items（有价值的游戏内物品）丢失，”这家罗马尼亚网络安全公司表示。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文