假VPN网站偷钱包：新型木马盯上主动搜索的人

凌晨两点，你在GitHub搜到一个"Proton VPN破解版"，下载、安装、输入密码——三小时后，加密货币钱包空了。

这不是钓鱼邮件的套路。安全公司Malwarebytes最新追踪显示，一种名为NWHStealer的新型信息窃取木马，正通过人们主动搜索的内容渗透系统。假VPN网站、游戏模组、硬件工具，全是诱饵。

攻击者放弃广撒网，转而埋伏在你必经之路上。

事件现场：2024年4月的发现

Malwarebytes研究团队首次锁定NWHStealer活跃传播时，注意到一个反常现象：传统钓鱼依赖邮件附件或恶意链接，而这次受害者是自愿下载的。

恶意软件研究工程师Gabriele Orini在报告中指出，攻击者将木马植入用户主动寻找的文件——VPN安装包、硬件监控工具、游戏作弊器。这些正是技术用户高频搜索的内容。

「攻击者不再敲门，而是藏在你要找的东西里。」

分布范围覆盖多个可信平台：代码托管平台GitHub与GitLab、文件分享站MediaFire和SourceForge，甚至YouTube上的游戏和安全类视频评论区。一个名为onworks[.]net的免费主机服务商（全球排名前10万）也被发现托管恶意ZIP压缩包，文件名如HardwareVisualizer_1.3.1.zip、Sidebar Diagnostics-3.6.5.zip，外观与正版无异。

这种"供应链下游投毒"策略，让防御难度陡增。

技术拆解：四层嵌套的投递系统

NWHStealer的加载链设计精密，每层都有特定功能。

第一层是初始加载器。Malwarebytes观察到，MSI安装包和Node.js（一种JavaScript运行环境）常被用作入口。用户双击运行后，看似正常的安装流程已经开始释放后续组件。

第二层涉及进程注入。木马可通过"自注入"方式运行，或植入合法Windows进程RegAsm（微软的程序集注册工具）。借用系统自带工具的数字签名和权限，绕过基础检测。

第三层是载荷执行。最终落地的NWHStealer开始系统扫描，枚举超过25个与加密货币钱包相关的文件夹和注册表项，同时针对Edge、Chrome、Opera、Brave、Chromium、Firefox等主流浏览器提取保存的密码和会话数据。

第四层是数据传输。窃取的信息经AES-CBC加密后发往命令控制服务器（C2）。若主服务器失效，木马会通过Telegram频道获取备用域名——这种"死信投递"机制确保运营连续性，即使基础设施被查封也能快速恢复。

四层结构的核心逻辑：每层暴露都不影响上一层，追查者即使截获样本，也难以逆向还原完整攻击链。

目标选择：为什么盯上"技术自信"群体

攻击者的目标画像值得玩味。

VPN用户通常具备基础安全意识，会主动寻找隐私工具；硬件监控工具使用者多为PC发烧友，习惯从GitHub获取开源软件；游戏模组和作弊器下载者则对"绕过官方渠道"习以为常。这三类人群的共同特征：相信自己能分辨风险，反而降低警惕。

具体诱饵包括：

• 假冒Proton VPN等知名品牌官网

• 硬件工具OhmGraphite、Pachtop、Sidebar Diagnostics的篡改版本

• 热门游戏作弊器Xeno及其衍生模组

这些产品的真实需求量大，官方渠道或需付费、或功能受限，催生活跃的"破解版"搜索流量。攻击者精准卡位这一灰色地带，用SEO优化和平台推荐算法，将恶意文件推至搜索结果前列。

一个细节暴露运营规模：onworks[.]net作为全球前10万网站，其下载板块的恶意文件长期存活，说明攻击者要么掌握账号批量注册能力，要么利用平台审核漏洞实现持久化托管。

防御困境：可信平台的信任透支

NWHStealer的传播策略直指现代安全架构的软肋。

企业级防护依赖威胁情报和域名信誉评分。GitHub、SourceForge、YouTube均属高信誉域名，传统防火墙不会拦截；MSI和Node.js是合法技术组件，行为监控难以区分正常开发与恶意利用；甚至RegAsm注入，在.NET开发环境中也是常规操作。

个人用户的防御习惯同样失效。检查发件人地址？没有邮件。核对网址拼写？假网站使用Let’s Encrypt免费证书，锁标正常显示。杀毒软件扫描？多层加壳和合法签名让静态检测命中率下降。

唯一可靠的拦截点，是执行前的代码审查——但要求普通用户逆向分析每个下载文件，显然不现实。

Malwarebytes的追踪显示，这场战役的难点不在技术对抗，而在成本结构：攻击者利用免费平台和开源工具构建基础设施，单点成本趋近于零；防御方却要为每次误报承担业务中断代价。不对称消耗战中，精准打击"高价值目标"成为理性选择。

行业启示：主动搜索时代的安全重构

NWHStealer的出现标志着攻击范式的深层转移。

第一代网络犯罪依赖广度：垃圾邮件、漏洞扫描、 drive-by下载，以量取胜。第二代转向社交工程：鱼叉式钓鱼、商业邮件诈骗，针对特定身份。第三代即NWHStealer代表的"需求劫持"——不制造接触点，而是寄生在已存在的需求路径上。

这对安全产品提出新要求。浏览器隔离、应用白名单、代码签名验证等机制，需要从事后检测前移至下载源头。GitHub等平台已加强仓库审核，但文件分享站和免费主机服务商的监管盲区仍大。

更根本的挑战是用户教育。技术群体的"自信盲区"难以用常规警示覆盖，需要案例驱动的沉浸式训练——比如展示一个看似正常的硬件工具如何逐步释放木马。

加密货币钱包的集中化存储模式也放大了风险。25个钱包路径的枚举清单显示，攻击者对主流钱包软件（MetaMask、Exodus、Electrum等）的安装习惯了如指掌。冷热钱包分离、硬件签名、多签机制的普及，比任何杀毒软件都更有效。

行动号召：今晚就做这三件事

如果你属于25-40岁技术从业者群体，今晚可以完成三项具体防护：

第一，审计你的浏览器密码存储。打开Chrome/Edge的密码管理器，导出清单，删除一年以上未用的条目，对关键账户启用硬件密钥或 authenticator 应用双因素认证——而非短信验证。

第二，隔离加密货币操作环境。将钱包软件安装于专用虚拟机或闲置旧设备，与日常办公系统物理隔离；大额资产转存硬件钱包，签名操作永不触网。

第三，建立下载源白名单。为常用开源工具（如OhmGraphite、Sidebar Diagnostics）收藏官方GitHub仓库地址，拒绝搜索引擎跳转；对任何"破解版""绿色版"保持零容忍，正版授权成本远低于钱包被盗损失。

攻击者已经学会藏在你的搜索意图里。防御的主动权，只能收回到每一次点击前的停顿中。