北京
你可能在某天刷到一条技术博主的视频,推荐一个“免费ChatGPT桌面版”的安装方法。评论区里有人贴出了GitHub仓库地址,看起来一切正常——星标不少,README写得很专业。你复制了那条安装命令,敲下回车。几秒钟后,你的浏览器密码、加密钱包和屏幕截图都开始流向一个你不知道的服务器。
这不是假设。Malwarebytes的研究人员发现,一场针对内容创作者、游戏玩家和AI爱好者的恶意软件行动正在大规模展开。攻击者把后门程序打包成ChatGPT、Claude、Ableton Live、AutoTune和Kontakt等知名软件的安装包,投放到GitHub和SourceForge这类开发者社区常年信赖的平台上。因为这些平台本身不涉及任何可疑行为,下载者几乎不会质疑文件的真实性。
这个被命名为DinDoor的后门程序充当的是一个远控木马的下发通道。它一旦在目标机器上建立连接,就会从指令控制服务器拉取一个功能完整的远程访问木马,也就是RAT。这个RAT的能力列表让人背后发凉:从浏览器和加密钱包里窃取数据、截取屏幕画面、记录剪贴板活动,甚至能调用微软Edge浏览器进程作为掩护,开启一条隐蔽的视频流,持续监控受害者的一举一动。
背后的传播链条同样值得拆解。攻击者攻破了一批YouTube频道,在上面发布带有恶意链接的视频内容,专门把人导向那些伪装成正常项目的GitHub和SourceForge页面。Malwarebytes的统计显示,这些视频的累计观看量已经突破50000次,意味着潜在受害者的规模远不止零星个案。攻击者还以游戏加速器GearUP和AI水印移除工具BWR的名义在SourceForge上架了同样的后门程序,可见AI聊天机器人并非他们唯一看中的诱饵。
整个感染流程从一个简单的终端命令开始。用户在恶意仓库页面看到一行看似标准的安装指令,复制并执行后,系统会静默下载一个MSI安装包,并调用Windows内置安装工具把它跑起来。这个MSI文件随后释放出一个CMD文件和一个PowerShell脚本。PowerShell脚本的动作非常狡猾:它利用Scoop和WinGet这两个正规的Windows包管理器去安装Deno JavaScript运行时。因为整套操作走的是受信任的软件分发渠道,安全防护软件很难察觉其中的异常。一旦Deno部署完成,脚本就会从攻击者的服务器直接获取并启动DinDoor后门。
DinDoor并不满足于一次性的入侵。它会修改Windows注册表的Run键值项,确保每次系统开机后自己都能重新上线。这台已经被控的机器随后成为攻击者随时可以调用的肉鸡——后门在后台静默连接指令控制服务器,等待下发新的载荷,同时把已收集的系统信息传回去。从你敲下那行命令的那一刻起,浏览器里存着的密码、钱包的助记词、屏幕上正在编辑的文档,都不再是只有你一个人可以看到的东西。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
