一个正常的开源工具,真的需要半年内狂刷超过1200个版本吗?安全研究公司Socket最近追踪到一场代号“Muck and Load”的恶意活动,攻击者从2026年1月起,在GitHub上架设了一个看似人畜无害的Go语言模块,但这个模块用实际行动回答:不需要。它的1200多个版本里,有超过700个被确认是恶意版本,每一次提交都不是为了修bug,而是为了投毒。
这个被Socket最先盯上的模块,托管在github.com/kaleidora/dnsub-scanning-tool,README文档指向一个名叫dnsub的合法开源子域名枚举项目,但包却发布在不同的GitHub命名空间下。从2026年1月24日首发版本开始,版本号如同心跳监测仪,每分钟变一次。Socket分析发现,这根本不是正常的版本工程,而是攻击者利用GitHub Actions工作流,每分钟定时提交、强制推送重写的日志文件,把每次提交都生成为一个Go“伪版本”,硬生生把仓库伪装成异常活跃的开发项目。
![]()
真正干坏事的逻辑藏在main.go文件里。执行任何扫描功能之前,这个模块会先默默拉起一个隐藏的PowerShell窗口,从攻击者控制的域名muckcoding.com下载一个编码文件,再调用Windows自带的certutil工具解码成一个PowerShell脚本L.ps1,并用绕过执行策略的方式把它跑起来。更让人意外的是,脚本内并没有写死最终恶意载荷的下载地址。Socket团队指出,这里用了一种叫“死信解析器”(Dead Drop Resolver)的隐蔽技术:L.ps1启动后会去Pastebin、Rlim这类公共粘贴服务,以及YouTube、Instagram、Telegram、Google Docs甚至GitCode等平台,搜索一个特定的标记字符串“LastW”,然后用硬编码密钥解密出真实的载荷下载链接。这样设计最大的好处是,就算某个粘贴内容或域名被禁掉,攻击者只要更新公共平台上的解析内容,就可以继续控制下一阶段,完全不用碰第一阶段已投放的脚本。
最终解析出来的URL,指向托管在GitHub Release上的一个带密码保护的7-Zip压缩包。解压后,文件落进一个仿冒微软Win11照片应用的目录里,其中的Microsoft.exe以隐藏窗口悄然启动。经确认,最终投放的恶意软件家族相当“丰富”:包括AsyncRAT、Quasar、Remcos等远程访问木马,以及Vidar这类信息窃取器,本质上是把一台台开发者电脑变成肉鸡或数据提款机。
以这个模块为起点,Socket团队挖出了一个更大的GitHub诱饵网络:190个账户下,躺着222个已确认的诱饵代码仓库。这些仓库有一个共同的“身份证号”——GitHub Actions工作流中,Git提交邮箱统一设置为ischhfd83@rambler.ru,而可见的提交用户名则设置成当前仓库所属的账号名。这种“邮箱统一、用户名可变”的模式,让攻击者能在一堆一次性账户上制造出活跃提交的繁荣景象,同时又给所有操作留下了一个固定的追踪指纹。这些仓库还共享同一个行为:每分钟重写一次日志文件并强制推送,假装在维护项目,实则伪造假象。
这些诱饵仓库的主题高度集中,几乎全部围绕加密货币、Web3工具、钱包集成、助记词工具、交易所自动化机器人,还有游戏外挂(比如《PUBG》、《无畏契约》和《逃离塔科夫》),以及Telegram和Discord机器人。如果有人把这些仓库当成“免费午餐”下载运行,得到的可能是一个木马加载器、Vidar窃密软件、间谍程序、释放器甚至门罗币挖矿程序。在至少14种不同的恶意文件中,有一个名为Loader.exe的文件,竟然在四个不同仓库中完全一致,仿佛批量化生产的弹药。
Socket高度确信,这起“Muck and Load”行动与安全厂商Sophos在2025年6月披露的大规模GitHub后门活动归属同一攻击者集群。当时Sophos追踪到141个关联仓库,其中133个被植入后门,而攻击者使用的别名之一正是“Muck”——这也解释了木马链中出现的muckcoding.com和muckdeveloper.com域名。邮箱地址ischhfd83@rambler.ru像一条绳索,把两起活动牢牢拴在了一起。
截至发稿,GitHub官方及Go语言安全团队还未对此事公开置评,不过Go安全团队已经快速行动,将相关恶意模块从Go模块代理中屏蔽。对于开发者来说,这次事件更像一个醒目的提醒:一个声称能帮你扫描子域名或自动交易加密货币的仓库,如果版本号涨得比股价还快,那不是勤奋,而是每分钟都在向你招手投毒的节奏。那些来路不明、版本异常激增、功能描述充满诱惑的项目,尤其是涉及加密货币、游戏外挂和黑客工具的类型,恐怕在点下clone或go get之前,得先让警惕性跑在前头。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.