黑客借 GitHub 撒网投毒:超 200 个仓库暗藏远控木马、挖矿程序等恶意软件
最新 7 月 11 日消息,安全研究公司 Socket 当地时间周三报告了一起代号为“Muck and Load”的大规模恶意软件活动。
据介绍,有不法分子自 2026 年 1 月起通过一个伪装成 DNS 与子域名扫描工具的 Go 语言模块,通过代码托管平台 GitHub 向开发者及用户投放远程访问木马(RAT)、信息窃取器和加密货币挖矿程序等多种 Windows 恶意软件。

Socket 研究团队最初追踪到的恶意 Go 模块位于 github [.]com / kaleidora / dnsub-scanning-tool。
该模块的 README 文档指向了一个名为 dnsub 的合法开源子域名枚举项目,但发布的包却位于不同的 GitHub 命名空间下,以此作为掩护。其包元数据显现出明显异常:自 2026 年 1 月 24 日发布首个版本以来,该模块在短短数月内累计发布了超过 1200 个版本,其中逾 700 个被确认为恶意版本。

Socket 分析认为,这一异常并非正常的版本工程,而是攻击者利用 GitHub Actions 工作流,通过每分钟定时提交并强制推送重写的日志文件,将每次提交都生成为一个 Go“伪版本”,从而人为制造出大量的版本记录。
该恶意模块的恶意行为在其 main.go 文件中被刻意隐藏。它会在执行任何扫描逻辑前,先启动一个隐藏的 PowerShell 窗口,从攻击者控制的域名 muckcoding.com 下载一个编码文件,并使用 Windows 自带的 certutil 工具将其解码为 PowerShell 脚本 L.ps1,随后以绕过执行策略的方式运行该脚本。Socket 指出,攻击者并未在脚本中硬编码最终的恶意载荷 URL,而是采用了一种更隐蔽的“死信解析器”(Dead Drop Resolver)技术。解码后的 L.ps1 脚本会从 Pastebin、Rlim 等公共粘贴服务,以及 YouTube、Instagram、Telegram、Google Docs 和 GitCode 等众多公共平台获取加密的载荷位置信息。脚本会搜索特定标记字符串“LastW”,然后用硬编码密钥解密出真实的下载地址。这种设计赋予了攻击者极强的操作弹性:即使某个特定的粘贴内容或域名被封禁,攻击者也能迅速更新公共平台上的解析内容,而无需改动第一阶段的载荷。
最终解析出的 URL 指向一个托管在 GitHub Release 上的、受密码保护的 7-Zip 压缩包。该载荷会被解压至一个仿冒微软 Win11 照片应用的目录中,并以隐藏窗口启动其中的 Microsoft.exe 文件。经分析,最终投放的恶意软件家族包括 AsyncRAT、Quasar、Remcos 等远控木马,以及 Vidar 等信息窃取器。

以该恶意模块为切入点,Socket 团队顺藤摸瓜,揭露了一个规模更大的 GitHub 诱饵网络。该网络包含 190 个账户下的 222 个已确认的诱饵代码仓库。
这些仓库的共同特征是使用了一个特定的 GitHub Actions 工作流,该工作流将 Git 提交邮箱统一设置为 ischhfd83@rambler.ru,同时将可见的提交用户名设置为当前仓库的所有者。这种“邮箱统一、用户名可变”的模式,使得攻击者能在大量一次性账户上制造出归属不同所有者的活跃提交记录,同时留下了一个可供追踪的固定指纹。这些仓库会每分钟重写一次日志文件并进行强制推送,人为制造出仓库正在积极维护的假象。
这些诱饵仓库的主题高度集中,主要围绕加密货币和 Web3 工具、钱包集成、助记词工具、交易所自动化机器人、游戏外挂(如《PUBG》、《无畏契约》和《逃离塔科夫》)以及 Telegram 和 Discord 机器人等。
Socket 确认,在这些仓库中至少发现了 14 个不同的恶意文件,包括木马加载器、下载器、Vidar 窃密软件、间谍软件、释放器以及门罗币挖矿程序。其中一个名为 Loader.exe 的文件在四个不同的仓库中竟完全相同。
Socket 高度确信,“Muck and Load”行动与安全厂商 Sophos 在 2025 年 6 月披露的、同样关联邮箱 ischhfd83@rambler.ru 的大规模 GitHub 后门活动属于同一攻击者集群。当时 Sophos 的研究人员追踪到 141 个相关仓库,其中 133 个被植入了后门。Sophos 还指出,“Muck”正是该攻击者使用的别名之一,这也解释了本次活动中出现的 muckcoding.com 和 muckdeveloper.com 等域名。
目前,GitHub 官方及 Go 语言安全团队尚未就此事发表公开评论,但 Go 安全团队已迅速响应,将相关恶意模块从 Go 模块代理(Go module proxy)中屏蔽。
最新提醒广大开发者和用户,对来源不明、版本号异常激增或功能描述可疑的软件包应保持高度警惕,尤其是那些声称具有加密货币、游戏外挂或黑客工具等功能的项目,切勿轻易下载或运行其中包含的代码与可执行文件。
《黑客借 GitHub 撒网投毒:超 200 个仓库暗藏远控木马、挖矿程序等恶意软件》转载自互联网,如有侵权,联系我们删除,QQ:369-8522。
相关图文
-
央企大动作:中国石化完成对中国航油重组,发力绿色航空燃料产业
中国石化已完成对中国航油的重组,后者成为其二级全资子公司。此举旨在提升国家航空能源供应安全,并加速航空燃料的绿色低碳转型。重组历经监管审批,于 7 月 9 日完成工商变更。#绿色航空燃料# #央企重组#... -
联合国研究报告:中国电力技术创新全球首位,综合发展水平跻身前五
联合国发布最新全球电力发展指数报告,中国在电力技术创新维度上位列全球首位,综合发展水平也进入前五。报告显示,中国清洁能源装机总量、电力数智化应用均领跑世界。全球电力转型加速,人工智能等技术正走向大规模应用。#全球电力发展# #中国电力创新#... -
微软 Xbox 裁员波及黑曜石:《宣誓》艺术总监马特 · 汉森被炒,此前曾因 DEI 言论引发争议
微软 Xbox 大规模重组持续,黑曜石娱乐工作室也未能幸免。前联合创始人证实,曾担任《宣誓》艺术总监的马特 · 汉森已离开。汉森此前因在社交媒体上关于招聘多元化、行业“白男过多”等言论引发过争议。此次裁员是 Xbox 近期 3200 人裁员计划的一部分,已重创 id Software 等多家工作室。#微软 Xbox 裁员#... -
知情人士回应“腾讯考虑入股 Manus”:预计股权变更完成后,腾讯方面仍只是持有少数股份的外部股东
接近交易的知情人士表示,此次股权变动是在监管主导之下,社会资本共同补齐此前 Meta 的投资,以便让 Meta 退出。(财闻)... -
《神偷奶爸》衍生动画电影《小黄人与大怪兽》 上映 10 天总票房破 2 亿
电影《小黄人大眼萌》 主角官方微博昨晚宣布,新片《小黄人与大怪兽》 上映 10 天,总票房破 2 亿。本片已于 7 月 3 日在国内上映,讲述了小黄人闯荡好莱坞,试图拍摄一部怪兽电影,却意外召唤出真实怪兽引发混乱的冒险故事。...












