HackerNews 编译，转载请注明出处： 一个由13,000台米克罗提克（MikroTik）设备组成的新发现僵尸网络，利用域名服务器记录中的配置错误，绕过电子邮件保护，通过伪造大约20,000个网络域名传播恶意软件。 该威胁行为者利用了用于列出所有被授权代表一个域名发送电子邮件的服务器的发件人策略框架（SPF）的DNS记录配置不当。 据DNS安全公司英飞凌（Infoblox）称，这起恶意垃圾邮件活动于2024年11月末活跃。部分电子邮件假冒DHL快递公司，发送包含ZIP压缩包的虚假货运发票，而该压缩包内含有恶意有效载荷。 ZIP附件中是一个JavaScript文件，该文件组装并运行一个PowerShell脚本。该脚本与之前与俄罗斯黑客相关的域名上的威胁行为者的命令和控制（C2）服务器建立连接。 “许多垃圾邮件的标题揭示了大量域名和SMTP服务器IP地址，我们意识到，我们发现了一个由大约13,000台被劫持的米克罗提克设备组成的庞大网络，它们都是一个大型僵尸网络的一部分”，英飞凌解释道。 英飞凌解释说，大约20,000个域名的SPF DNS记录被配置为过于宽泛的“+all”选项，这允许任何服务器代表这些域名发送电子邮件。 “这实际上使SPF记录失去了意义，因为它为伪造和未经授权的电子邮件发送打开了大门”，英飞凌指出。 更安全的选择是使用“-all”选项，它将电子邮件发送限制为域名指定的服务器。 僵尸网络操作概述（来源：英飞凌） 入侵方法尚不清楚，但英飞凌表示，他们“看到了各种受影响的版本，包括最近的[米克罗提克]固件版本”。 米克罗提克路由器以其强大性能而闻名，威胁行为者瞄准它们，以创建能够进行非常强大攻击的僵尸网络。 就在去年夏天，云服务提供商OVHcloud指责一个由被攻破的米克罗提克设备组成的僵尸网络发动了一次大规模拒绝服务攻击，峰值达到创纪录的每秒8.4亿个数据包。 尽管敦促米克罗提克设备所有者更新系统，但由于补丁更新速度非常慢，许多路由器在很长一段时间内仍然存在漏洞。 本案中的僵尸网络将这些设备配置为SOCKS4代理，以发动分布式拒绝服务（DDoS）攻击、发送网络钓鱼电子邮件、数据外泄，并普遍帮助掩盖恶意流量的来源。 “尽管僵尸网络由13,000台设备组成，但它们作为SOCKS代理的配置允许数十万甚至数百万台被攻陷的机器使用它们进行网络访问，从而显著放大了僵尸网络操作的潜在规模和影响”，英飞凌评论道。 建议米克罗提克设备所有者为其型号应用最新的固件更新，更改默认管理员帐户凭据，并在不需要时关闭控制面板的远程访问。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部（DoJ）周二透露，一项法院授权的行动允许联邦调查局（FBI）作为“数月执法行动”的一部分，从4250多台受感染电脑中删除了PlugX恶意软件。 PlugX（又称Korplug）是一种远程访问木马（RAT），被与中国（PRC）相关的威胁行为者广泛使用，用于信息窃取和远程控制被攻陷的设备。 FBI提交的一份宣誓书指出，已确定的PlugX变种与一个名为Mustang Panda（又称BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、RedDelta、Red Lich、Stately Taurus、TA416和Twill Typhoon）的国家支持的黑客组织有关联。 “自2014年以来，Mustang Panda黑客们在一系列针对美国受害者以及欧洲和亚洲政府和企业的活动中，渗透了数千个计算机系统，还攻击了中国异见人士团体，”司法部表示。 该威胁行为者的其他目标还包括中国台湾、中国香港、日本、韩国、蒙古国、印度、缅甸、印度尼西亚、菲律宾、泰国、越南和巴基斯坦。 此次干扰行动是更大规模“消毒”行动的一部分，该行动自2024年7月底开始，旨在清除受感染系统中的PlugX恶意软件。巴黎检察院和网络安全公司Sekoia此前曾分享过此次活动的详细信息。 Sekoia此前详细介绍称，这种特定的PlugX变种会通过连接的USB设备传播到其他系统。该恶意软件一旦安装，就会向攻击者控制的服务器（“45.142.166[.]112”）发出信号，等待进一步指令以从主机收集数据。 2024年4月底，该公司还透露，它仅花费了7美元就瘫痪了与该IP地址相关的服务器，从而得以发出自我删除指令，从受感染的设备中删除恶意软件。 该指令执行了以下步骤： 删除受害电脑上由PlugX恶意软件创建的文件； 删除用于在受害电脑启动时自动运行PlugX应用程序的PlugX注册表项； 创建一个临时脚本文件，以便在停止PlugX应用程序后删除它； 停止PlugX应用程序； 运行临时文件以删除PlugX应用程序、删除PlugX恶意软件在受害电脑上创建的用于存储PlugX文件的目录，以及从受害电脑上删除临时文件。 FBI表示，自我删除指令不会影响美国境内目标设备上的任何合法功能或文件，也不会从它们传输任何其他数据。 上个月，Sekoia表示，作为为10个国家开展PlugX消毒过程而建立的法律框架的一部分，已针对5539个IP地址发出了多达59475个消毒有效载荷。 “这次大规模黑客攻击以及数千台基于Windows的电脑（包括美国许多家庭电脑）长期感染，表明了中国国家支持的黑客肆无忌惮、咄咄逼人，”美国宾夕法尼亚州东区检察官Jacqueline Romero说。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一场新的恶意软件攻击活动已使超过5000个WordPress网站沦陷，攻击者在这些网站上创建了管理员账户、安装了恶意插件并窃取数据。 网络安全公司c/side的研究人员在对一家客户的事件响应中发现，恶意活动利用wp3[.]xyz域名进行数据外泄，但尚未确定最初的感染途径。 在攻击目标沦陷后，从wp3[.]xyz域名加载的恶意脚本会创建一个名为wpx_admin的非法管理员账户，其凭据直接写在代码中。 创建非法管理员账户（图片来源：c/side） 随后，脚本会从同一域名下载恶意插件（plugin.php），并在沦陷网站上激活它。 据c/side称，该插件旨在收集敏感数据，如管理员凭据和日志，并以一种混淆方式将其发送到攻击者服务器，伪装成图片请求。 攻击还包括多个验证步骤，如在创建非法管理员账户后记录操作状态，并验证恶意插件的安装情况。 阻止攻击 c/side建议网站管理员使用防火墙和安全工具屏蔽“wp3[.]xyz”域名。 此外，管理员应审查其他特权账户和已安装插件的列表，识别未经授权的活动，并尽快删除。 最后，建议通过生成唯一令牌、服务器端验证和定期重新生成来加强WordPress网站的CSRF防护。令牌应具有较短的过期时间，以限制其有效期。 同时，为已泄露凭据的账户实施多因素身份验证，也可增强账户安全性。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种针对macOS的信息窃取恶意软件Banshee Stealer的新变种，该变种更为隐蔽。 Check Point Research在向The Hacker News分享的一份新分析报告中指出：“在2024年底源代码泄露后，该恶意软件一度被认为已沉寂。但此次新变种引入了受苹果XProtect启发的先进字符串加密技术。这一发展使其能够绕过杀毒软件系统，对全球超过1亿macOS用户构成重大风险。” 该网络安全公司表示，他们在2024年9月底检测到了这一新版本。该恶意软件通过伪装成谷歌浏览器、Telegram和TradingView等流行软件的钓鱼网站和假冒GitHub仓库进行传播。 Banshee Stealer首次由Elastic Security Labs在2024年8月记录。它以每月3000美元的价格，作为恶意软件即服务（MaaS）模型提供给其他网络犯罪分子，能够收集来自网页浏览器、加密货币钱包和具有特定扩展名的文件的数据。 2024年11月底，该恶意软件的源代码在网上泄露，导致其运营受挫并关闭。然而，Check Point表示，他们已发现多起仍通过钓鱼网站分发该恶意软件的攻击活动，但目前尚不清楚这些活动是否由之前的客户发起。 这一新变种的一个显著特点是移除了用于防止感染默认系统语言设置为俄语的Macs的俄语语言检查。移除这一功能暗示着威胁行为者可能正在寻求扩大潜在目标范围。 另一项关键更新是使用了苹果XProtect杀毒软件引擎中的字符串加密算法来混淆Banshee Stealer原始版本中的明文字符串。 Check Point Research安全研究小组经理Eli Smadja在一份向The Hacker News提供的声明中表示：“现代恶意软件攻击正在利用常见的人类漏洞，而不仅仅是特定平台的缺陷。macOS与其他操作系统一样，都面临着这些不断演变的威胁，尤其是当网络犯罪分子采用社会工程学和假冒软件更新等先进技术时。” 与此同时，Discord上的未经请求的消息正在被用来传播各种窃取器恶意软件家族，如Nova Stealer、Ageo Stealer和Hexon Stealer，其借口是测试一款新的视频游戏。 Malwarebytes表示：“这些窃取器似乎对Discord凭证特别感兴趣，因为这些凭证可用于扩大被攻陷账户的网络。这也对他们有所帮助，因为部分被盗信息包括受害者的好友账户。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 针对中东地区政府机构与互联网服务提供商（ISP）的新型Eagerbee恶意软件框架变种正在被部署。 据卡巴斯基研究人员的新报告指出，基于代码相似性和IP地址重叠，该恶意软件可能与名为“CoughingDown”的威胁组织存在潜在关联。 “由于在同一天通过相同的Webshell创建服务以执行Eagerbee后门和CoughingDown核心模块，且Eagerbee后门与CoughingDown核心模块的C2域名存在重叠，我们较为确信地认为Eagerbee后门与CoughingDown威胁组织有关”，卡巴斯基解释道。 Eagerbee恶意软件框架 卡巴斯基无法确定中东地区攻击中的初始访问途径，但报告指出，在之前的案例中，两家东亚组织曾通过利用Microsoft Exchange ProxyLogon漏洞（CVE-2021-26855）遭到入侵。 攻击涉及在系统32目录中部署一个注入器（tsvipsrv.dll），以加载有效载荷文件（ntusers0.dat）。 系统启动时，Windows会执行注入器，然后滥用“Themes”服务以及SessionEnv、IKEEXT和MSDTC，利用DLL劫持技术在内存中写入后门有效载荷。 后门加载流程 后门可被配置为在特定时间执行，但卡巴斯基表示，在观察到的攻击中，后门被设置为全天候运行。 在受感染系统上，Eagerbee以“dllloader1x64.dll”的形式出现，并立即开始收集操作系统详情和网络地址等基本信息。 初始化后，它会与命令与控制（C2）服务器建立TCP/SSL通道，从而接收扩展其功能的附加插件。 插件由插件编排器（ssss.dll）注入内存，并管理其执行。 卡巴斯基记录的五个插件如下： 文件管理器插件：处理文件系统操作，包括列出、重命名、移动、复制和删除文件或目录。它可以调整文件权限、将附加有效载荷注入内存、执行命令行，并检索详细的文件和文件夹结构，同时管理卷标和时间戳。 进程管理器插件：通过列出正在运行的进程、启动新进程和终止现有进程来管理系统进程。它可以在特定用户账户的安全上下文中执行命令行或模块。 远程访问管理器插件：通过启用RDP会话、维护并发RDP连接和提供命令外壳访问来促进远程访问。它还可以从指定URL下载文件，并将命令外壳注入合法进程以实现隐身。 服务管理器插件：通过创建、启动、停止、删除或枚举系统服务来控制服务。它可以管理独立和共享服务进程，同时收集服务状态详细信息。 网络管理器插件：监控和列出活动网络连接，收集IPv4和IPv6协议的状态、本地/远程地址和端口以及关联进程ID等详细信息。 总体而言，Eagerbee是一种隐蔽且持久的威胁，在被入侵的系统上具有广泛能力。 同样的后门加载链也在日本被发现，表明这些攻击具有全球性。 各组织应为所有Exchange服务器修补ProxyLogon漏洞，并使用卡巴斯基报告中列出的入侵指标来尽早捕捉威胁。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为FireScam的安卓信息窃取恶意软件被发现伪装成Telegram消息应用的高级版，以窃取数据并对受感染的设备实施持续的远程控制。 “这款恶意软件伪装成假冒的‘Telegram高级版’应用，通过一个假冒俄罗斯联邦知名应用商店RuStore的GitHub.io托管钓鱼网站进行分发。”网络安全公司Cyfirma表示，这是一款“复杂且多面的威胁”。 “恶意软件采用多阶段感染过程，从投放器APK文件开始，一旦安装，便执行广泛的监控活动。” 该钓鱼网站（rustore-apk.github[.]io）模仿俄罗斯科技巨头VK在该国推出的应用商店RuStore，并设计用于交付投放器APK文件（“GetAppsRu.apk”）。一旦安装，投放器便成为主要有效载荷的传输工具，负责将包括通知、消息和其他应用数据在内的敏感数据外泄到Firebase实时数据库端点。 投放器应用请求多项权限，包括在Android 8及更高版本的受感染安卓设备上写入外部存储以及安装、更新或删除任意应用的能力。 “ENFORCE_UPDATE_OWNERSHIP权限将应用更新限制为应用的指定所有者。应用的初始安装程序可以声明自己是‘更新所有者’，从而控制应用的更新。”Cyfirma指出。 “此机制确保其他安装程序在尝试更新前需要用户批准。通过将自己指定为更新所有者，恶意应用可以防止来自其他来源的合法更新，从而在设备上保持其持久性。” FireScam采用多种混淆和防分析技术来逃避检测。它还监控传入的通知、屏幕状态变化、电子商务交易、剪贴板内容和用户活动，以收集感兴趣的信息。另一个值得注意的功能是其能够从指定URL下载和处理图像数据。 当这个假冒的Telegram高级版应用启动时，它会进一步请求用户访问联系人列表、通话记录和短信消息的权限，然后通过WebView显示Telegram官方网站的登录页面以窃取凭据。无论受害者是否登录，数据收集过程都会启动。 最后，它注册一个服务以接收Firebase云消息（FCM）通知，从而能够接收远程命令并保持隐蔽访问——这是恶意软件广泛监控能力的一个迹象。同时，恶意软件还与其命令和控制（C2）服务器建立WebSocket连接，用于数据外泄和后续活动。 Cyfirma表示，该钓鱼域名还托管了另一个名为CDEK的恶意程序，这可能是指一家俄罗斯包裹和递送跟踪服务。然而，网络安全公司表示，在分析时未能获得该程序。 目前尚不清楚操作者是谁，用户是如何被引导到这些链接的，以及是否涉及短信钓鱼或恶意广告技术。 “通过模仿合法平台（如RuStore应用商店），这些恶意网站利用用户信任欺骗个人下载并安装假冒应用。”Cyfirma表示。 “FireScam执行其恶意活动，包括数据外泄和监控，进一步证明了基于钓鱼的分发方法在感染设备和逃避检测方面的有效性。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 针对以太坊开发者的Hardhat开发环境，已有二十个恶意包伪装上线，企图窃取私钥及其他敏感数据。据研究人员称，这些恶意包累计下载量已超过一千次。 Hardhat是由Nomic基金会维护的、广受以太坊开发者欢迎的开发环境，用于在以太坊区块链上开发、测试和部署智能合约及去中心化应用（dApps）。该环境通常被区块链软件开发者、金融科技公司和初创企业以及教育机构所使用。 这些用户往往从npm（Node Package Manager，节点包管理器）中获取项目组件，npm是JavaScript生态系统中广受欢迎的工具，有助于开发者管理依赖项、库和模块。 在npm上，三个恶意账户上传了20个信息窃取包，这些包通过拼写错误伪装成合法包，诱骗用户安装。Socket分享了其中16个恶意包的名称，它们分别是： nomicsfoundations @nomisfoundation/hardhat-configure installedpackagepublish @nomisfoundation/hardhat-config @monicfoundation/hardhat-config @nomicsfoundation/sdk-test @nomicsfoundation/hardhat-config @nomicsfoundation/web3-sdk @nomicsfoundation/sdk-test1 @nomicfoundations/hardhat-config crypto-nodes-validator solana-validator node-validators hardhat-deploy-others hardhat-gas-optimizer solidity-comments-extractors 这些包一旦安装，其代码就会试图收集Hardhat私钥、配置文件和助记词，使用硬编码的AES密钥进行加密，然后将它们外泄给攻击者。 Socket解释道：“这些包利用Hardhat运行环境的功能，如hreInit()和hreConfig()，来收集私钥、助记词和配置文件等敏感信息。” “收集到的数据通过硬编码的密钥和以太坊地址传输到攻击者控制的端点，从而实现简化的数据外泄。” 私钥和助记词用于访问以太坊钱包，因此此次攻击的第一个潜在后果是通过发起未经授权的交易导致资金损失。 此外，由于许多受攻击的系统属于开发者，攻击者可能获得对生产系统的未经授权访问权限，并破坏智能合约或部署现有dApps的恶意克隆版本，为更具影响力、更大规模的攻击奠定基础。 Hardhat配置文件可能包含第三方服务的API密钥以及开发网络和端点的信息，这些信息可被利用来准备网络钓鱼攻击。 软件开发者应保持警惕，验证包的真实性，注意拼写错误伪装，并在安装前检查源代码。通常建议，私钥不应硬编码，而应存储在安全的保险库中。为最大限度地降低此类风险，请使用锁定文件，为依赖项定义特定版本，并尽可能减少依赖项的使用。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员已标记出一种名为PLAYFULGHOST的新型恶意软件，该软件具备广泛的信息收集功能，如键盘记录、屏幕截图、音频录制、远程shell以及文件传输/执行等。 据谷歌的托管防御团队称，该后门程序与一种名为Gh0st RAT的已知远程管理工具在功能上有所重叠，而Gh0st RAT的源代码早在2008年就已公开泄露。 PLAYFULGHOST的初始入侵途径包括使用含有行为规范相关诱饵的钓鱼邮件或搜索引擎优化（SEO）投毒技术来分发诸如LetsVPN等合法VPN应用的特洛伊木马版本。 “在一起钓鱼攻击事件中，感染始于诱骗受害者打开伪装成图像文件并使用.jpg扩展名的恶意RAR压缩包，”该公司表示，“当受害者解压并执行该压缩包时，它会释放一个恶意的Windows可执行文件，该文件最终会从远程服务器下载并执行PLAYFULGHOST。” 另一方面，采用SEO投毒的攻击链则试图欺骗不明真相的用户下载含有恶意软件的LetsVPN安装程序，该程序在启动时会释放一个负责检索后门组件的中间有效载荷。 该感染值得注意的一点是，它利用诸如DLL搜索顺序劫持和旁加载等方法来启动一个恶意DLL，然后使用该DLL来解密并将PLAYFULGHOST加载到内存中。 Mandiant表示，它还观察到了一个“更复杂的执行场景”，其中Windows快捷方式（“QQLaunch.lnk”）文件将名为“h”和“t”的两个其他文件的内容组合起来，以构建恶意DLL，并使用重命名的“curl.exe”版本进行旁加载。 PLAYFULGHOST能够使用四种不同的方法在主机上设置持久性：运行注册表项、计划任务、Windows启动文件夹和Windows服务。它拥有一套广泛的功能，能够收集大量数据，包括键盘输入、屏幕截图、音频、QQ账户信息、安装的安全产品、剪贴板内容以及系统元数据等。 此外，它还具备释放更多有效载荷、阻止鼠标和键盘输入、清除Windows事件日志、擦除剪贴板数据、执行文件操作、删除与搜狗、QQ、360安全、Firefox和谷歌Chrome等浏览器相关的缓存和配置文件，以及擦除Skype、Telegram和QQ等消息传递应用程序的配置文件和本地存储的能力。 通过PLAYFULGHOST部署的其他一些工具包括Mimikatz和一个能够隐藏威胁行为者指定的注册表、文件和进程的rootkit。在下载PLAYFULGHOST组件时，还会同时释放一个名为Terminator的开源实用程序，该程序可以通过自带易受攻击的驱动程序（BYOVD）攻击来终止安全进程。 “有一次，Mandiant观察到PLAYFULGHOST有效载荷被嵌入到BOOSTWAVE中，”这家科技巨头表示，“BOOSTWAVE是一种shellcode，它作为附加的可移植可执行（PE）有效载荷的内存释放器。” 针对搜狗、QQ和360安全等应用以及使用LetsVPN诱饵的情况表明，这些感染可能针对的是使用中文的Windows用户。2024年7月，加拿大网络安全供应商eSentire披露了一起类似活动，该活动利用虚假的谷歌Chrome安装程序来传播Gh0st RAT，并使用了一个名为Gh0stGambit的释放器。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项针对PlugX蠕虫的开创性恶意软件消毒行动在国际机构的协作下已圆满执行。 此次行动由Sekoia威胁检测与研究团队牵头，成功为多个国家的受感染系统进行了消毒。 PlugX蠕虫常与“野马熊猫”（Mustang Panda）相关联，可通过受感染的闪存盘传播，极具普遍性。2023年，Sekoia研究人员查尔斯·梅斯莱（Charles Meslay）和费利克斯·艾梅（Félix Aimé）在控制了一个关键的指挥与控制（C2）服务器后，对该恶意软件进行了分析，并提出了两种潜在的消毒方法。 这包括一个自我删除命令和一种更先进的代码执行方法，以清理系统和连接的驱动器。此次行动主要采用了更简单、侵入性更低的方法来降低风险。 响应公开求助，34个国家请求获取蜜罐日志以识别受感染的网络，而22个国家表示对主动消毒感兴趣。 最终，在巴黎检察院和法国国家宪兵队网络部门的监督下，10个国家开展了消毒行动。 为简化操作，Sekoia仅用一周时间就开发了一个专用的消毒门户。该平台允许参与国家登录，访问受感染资产的详细统计信息，并通过选择特定网络或IP范围来启动消毒行动。 该过程确保了最小程度的干扰。如果IP地址符合预定标准，蜜罐将发送一个小型消毒有效载荷并记录操作。 在整个行动期间，共向5539个IP地址发送了59475个有效载荷。 尽管技术上相对简单，但此次行动凸显了法律层面的复杂性。执法机构和司法部门的积极参与对于遵守国际法律至关重要。 此次合作也为未来的消毒行动树立了先例，展示了主权网络安全合作的潜力。   消息来源：Infosecurity Magazine, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： GitHub正遭遇虚假“星标”泛滥的问题，这些虚假星标被恶意用于提升软件病毒传播仓库的曝光度，诱使更多无辜用户上钩。 星标功能类似于社交媒体上的“点赞”，让用户能够为自己感兴趣的仓库标记。GitHub则将这些星标作为全球排名系统的参考指标之一，并据此向用户推荐相关内容。 GitHub说明：“用户可通过为仓库或主题加注星标，来发掘平台上的相似项目。一旦加星标，GitHub可能会在个人仪表板上推荐相关内容。” 去年夏季，Check Point揭露了一个名为“Stargazers Ghost Network”的恶意软件传播网络，该网络通过大量虚假账户为虚假项目加星标，以推广信息窃取恶意软件，揭示了这一问题的存在已久。 不仅恶意项目，部分非恶意项目也采用虚假星标手段提升人气、扩大影响，吸引真实用户关注与采用，此举不仅加剧了问题，还损害了平台信誉。 近期，Socket联合卡内基梅隆大学及北卡罗来纳州立大学的研究人员发布的一项新研究显示，GitHub上约有450万个星标疑似虚假。 追踪虚假星标 研究团队开发了一款名为“StarScout”的工具，用于分析来自“GHArchive”的20TB数据，寻找虚假星标的迹象。GHArchive记录了2019年7月至2024年10月期间超过60亿个GitHub事件的元数据，包括3.1亿个仓库的6,050万用户操作和6.1亿个星标。 StarScout通过检测用户的活动特征来识别可疑星标行为，比如仅为单个仓库加星标的用户、显示出机器人或临时账户活动模式的用户，以及在短时间内对相同仓库加星标的账户群体。该方法基于CopyCatch算法，这是一种专为发现社交网络中欺诈模式设计的算法。 通过将低活动量和同步模式算法应用于数据分析，研究团队识别出了4,530,000个疑似虚假星标，这些星标来自1,320,000个账户，分布在22,915个仓库中。 为了提高结果的准确性，研究人员筛除了潜在的误报，仅保留了那些在单个月份内出现显著异常星标激增且虚假星标比例超过10%的仓库。这一筛选过程将结果缩减为310万个虚假星标，涉及278,000个账户和15,835个仓库。 到2024年10月，约91%的相关仓库和62%的虚假账户已被删除，这进一步证明了StarScout工具的有效性。此外，2024年虚假星标活动显著增加，特别是在7月期间，超过50个星标的仓库中约有15.8%参与了这些恶意活动。 研究团队在2024年7月报告了StarScout识别的虚假仓库和账户，GitHub已将其全部删除。目前，他们仍在评估并报告2024年11月发现的其他虚假星标群体。 虚假星标对GitHub及其用户的影响多方面显现，但总体而言，这一问题正在侵蚀平台的信任基础及其托管的各种软件项目的可靠性。 用户在下载软件前应谨慎对待星标数量，深入评估仓库的活动和质量，仔细阅读文档、检查内容和贡献，并在可能的情况下审查代码。 欺诈性GitHub仓库的存在十分普遍，甚至被国家支持的行动所利用。因此，在下载软件时必须提高警惕。 BleepingComputer已联系GitHub以了解其应对虚假星标问题的具体措施，目前尚未收到回应。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文