为赢得一场对局,你愿意冒多大风险?安全研究团队 Socket 的最新追踪显示,有人正把“作弊器”包装成 NuGet 包,玩家下载的瞬间,攻击者就获得了一扇实时窥视屏幕的后窗——11 个伪装成游戏外挂、机器人或管理面板的恶意包,专门瞄准 Albion Online、GTA5RP、GrandRP、Majestic RP 以及《王权与自由》等热门游戏的玩家社群。一旦安装,这些程序便无声无息地释放一个远程访问载荷,把受害者机器的当前屏幕截图直接传给操控者,密码管理器、浏览器会话、加密钱包甚至私聊窗口,只要在截图时恰好摊在桌面上,就会立即被窃走。
这场分两阶段的攻击链被 Socket 详细拆解。第一阶段是一批发布为 DotnetTool 类型的 .NET 命令行工具,它们唯一的任务就是下载并执行第二阶段的一个 Windows 可执行文件——pepesoft.exe。为了绕开网络监测,下载器使用加密 DNS(DNS-over-HTTPS)来解析 GitHub 主机,完全避开本机系统解析器以及企业常部署的 DNS 沉洞。更激进的是,11 个样本中有 10 个会主动请求用户账户控制(UAC)权限提升,先把 Windows 时钟重新同步一次,再拉取真正的恶意负载。
![]()
尽管散落成 11 个包,它们的内核却高度一致。所有下载器携带相同的硬编码 AWS 风格密钥材料以及同一个进程互斥体 GUID,整个基础设施由此被绑定在单一工具链上。下载器并不把这些云凭据直接嵌在 pepesoft.exe 里,而是通过环境变量传给子进程——恶意软件的云端存储引擎在启动时读取这些变量,就能在不暴露关键秘密的情况下完成配置。
一旦 pepesoft.exe 在受害机器上站稳,它会向 Google Sheets 发起认证,像填表格一样持续记录受害者数据。Socket 收集到的遥测数据清单相当详尽,包括硬件指纹、系统主机名、GPU 与 CPU 型号、基于 IP 的地理位置,以及操作系统的激活状态。更值得注意的是,恶意软件每次启动都会查询一张远程的 HWID/UUID 封禁名单——操作者等于拥有一个集中化的服务端“开关”,可以随时把某台感染端点拉入黑名单,不再理会。
除了偷偷搜集信息,部分载荷还暴露出一个更大规模的游戏自动化框架。三个分别冒充《Albion》《计算器》和《王权》相关工具的包,直接以 Python 字节码形式交付,其中集成了一套 Telegram 机器人指令。这意味着,攻击者把截图操作变成了一种公开服务:任何外部用户只需在对应的聊天里发送 /start 命令,就能触发对当前游戏窗口、整个桌面或某个指定程序进程的截图。这种设计让远程控制几乎等同于针对企业和消费者终端的现代远程执行漏洞。
因为截图程序只忠实地记录屏幕上活跃的内容,任何打开着的敏感界面——密码管理器、浏览器中登录着的账号、加密钱包、私人聊天消息——只要在截图那一刻可见,就会立刻通过 Telegram 接口被外传。剩下八个用 PyArmor 加壳保护的有效负载还增加了一个自动回退策略,当 Google Sheets 的通信被拦截时,它们能够重新路由流量,让窃密信道不至于轻易断开。结合近年来同类供应链攻击的趋势,利用凭据窃取型恶意软件入侵开源仓库环境的手段正在加速,而这种将开源包生态当作跳板、把游戏社区变成偷窥目标的套路,显然还会继续演化。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.