2024年12月4日，夜幕降臨，GitHub上空卻飄來了不祥的烏云。一批神秘的“幽靈倉庫”如鬼魅般出現，它們沒有代碼，只有病毒文件，像是黑暗中的陷阱，等待著不幸的開發者上鉤。這些倉庫如同被詛咒的幽靈，在GitHub上快速獲得star，超過180個虛假僵尸賬戶四處散播著代碼病毒。

　　中國程序員子墨，單槍匹馬，通過大數據篩查的方式，破獲了這起 GitHub 惡意軟件釣魚事件。涉及的大V在 Github 上有接近數百關注者，獲得過幾千 star 。同時涉及有多達 180 個虛假賬號，長達 4 年的活動。

　　更重要的是，這些記錄已被子墨上傳在在區塊鏈上，所有人都可以檢驗，涉事人刪庫也沒用。

　　所有人都可以重走一遍這位中國程序員的偵查之旅，仔細檢驗每個網頁備份。

　　以下是子墨的自述：

　　緣起

　　自北京時間 2024.12.4 晚間6點起， GitHub 上不斷出現“幽靈倉庫”，倉庫中沒有任何代碼，只有誘導性的病毒文件。當天，他們成為了 GitHub 上 star 增速最快的倉庫。超過 180 個虛假僵尸賬戶正在傳播病毒，等待不幸者上鉤。

　　而這一切被一位中國開發者--我收在眼底。經過幾天的探測尋找，疑似找到了攻擊者的真身。

幽靈倉庫：沒有任何代碼，只有誘導性的病毒文件。它們在短時間內迅速獲得大量星標（star），但實際上是為了傳播病毒和進行網絡釣魚攻擊。這些倉庫被創建、獲得高關注度后刪除，然后再次創建，行為模式類似于“幽靈”，因此得名

僵尸賬戶：長時間不活躍或被惡意利用的賬戶。具體來說，僵尸賬戶可以是長時間沒有活動跡象的賬戶，也可能被黑客或其他不良分子控制用于非法目的。這類賬戶不僅會增加平臺管理成本，還可能帶來安全風險。

　　發現"幽靈"

　　起初，我在編寫一套開源程序，用于尋找當下最早期的潛力種子項目。

　　我曾經用它找到過一個很好的開源項目MagicQui ，在其創建還不足24小時的時候我就檢測到它了。

　　自此我大受鼓舞，決定每天都用我的算法搜尋一下Github+上最新創建的倉庫中，看看哪些是有潛力的。這樣我可以領先于官方的Github Trending榜，也能比絕大部分科技媒體更早地發現好項目。

　　在 12.4 的搜尋過程中，我發現了一批不太一樣的倉庫。

　　這里面的 is None 代表倉庫有大量 star 記錄，后來卻被刪庫。為何有如此大量的高贊倉庫會被刪除呢？

　　起初我沒在意，而在一天后，這些倉庫再次出現。

　　就好像幽靈一樣，建倉->取得高贊->刪庫->再次創建。

　　罪證

　　這些倉庫點進去一看，都是同一種風格：聲稱自己是某個游戲的外掛或者 PhotoShop 破解版之類的，引導用戶下載并且打開他的 exe 文件。

　　基本可以確定是釣魚倉庫了。所有這些倉庫創建時間都非常相近，大約就是十多小時之前，而且短時間內積累到幾百 star ，其背后必有高人。

釣魚倉庫：GitHub上的釣魚倉庫是指惡意創建的倉庫，通常不包括任何實際代碼，而是通過誘導性內容快速獲得星標增加可信度，目的是欺騙用戶下載執行病毒文件或惡意軟件，對網絡安全構成威脅。

　　這些攻擊者是誰？我決定一探究竟。

　　首先查看是誰給這些倉庫點了贊。

　　我本以為大多是最新創建的機器人賬號。

　　出乎意料的是，這些賬號的加入時間并不短。有些賬號甚至是 2020 年就加入 Github 了。

　　4年的老號可不是說弄就弄的，如果這號是他自己的，那可真是下了血本，一個號養4年就為了這一天？

　　如果這號是他在黑市上買的，那說明4年前就有人開始批量養小號，也是一條很可觀的產業鏈了。（創業都不一定能創4年呢）

　　無論這些號是攻擊者自己養的還是在黑市上買的，成本都不低。

　　一片空白

　　我開始逐個賬戶打開查看，坐實了一件事：這些倉庫都是一伙兒的！

　　這個人點贊過的所有倉庫，都是剛剛說的幽靈倉庫！

　　不過個人資料卡上完全沒有任何痕跡。沒有粉絲，也沒有關注的人，這讓我們無從下手，簡直一片空白。

　　漫漫長路

　　180 多個賬號，我真的逐個點開來看了。其中大部分的都是純粹的空白賬戶，只用來點贊。但仍然有一些是附帶個人資料的。

　　這個賬號甚至附帶了個人網頁和 Instagram 。

　　不過凡事講究雙向證明。萬一這個賬號是冒用小哥的信息呢？只能將其列為懷疑對象。

　　峰回路轉

　　攻擊者賬戶 follow 了誰，并不重要，因為攻擊者可以冒用他人信息。真正有用的線索，應該看誰 follow 了攻擊者。

　　踏破鐵鞋無覓處，我找到了一個活人賬號。

　　有 5 個人 follow 了這個賬號！而且看他的 star 歷史，可以明確他是攻擊者之一。

　　而且該賬號有真實的 Github 代碼提交記錄（記住這個叫 SimpleBot 的倉庫）

　　我們來看看是誰 follow 了這個 G4tito

　　這兩位都是大人物。看看他們的 Github 主頁長啥樣：

　　BrunoSobrino 和 elrebelde21 這兩位大 V， 曾經合作過一個開源項目。

　　和明確攻擊者做的項目是同名的！

　　至此，邏輯鏈如下：

　　可見 BrunoSobrino 和 elrebelde21 這兩位大牛，跟攻擊者 G4tito 可能是有聯系的。

　　其實到這里基本破案了。操縱 180 多個賬號是短時間內點贊和創建倉庫，批量生成內容，不太可能用人工完成，應該是用 Github API自動化做的。這兩位大牛和明確攻擊者，做的項目都是那種 WhatsAPP 機器人，技術棧也相當吻合了。

　　經大佬提點，找到一個疑似線索。

　　題外話 其實項目本意是用來尋找那些創建時間短，但是短時間內 star 增長很多的項目。這些項目可以認為是典型的早期優秀項目，日后必然大火的。

　　挖到這些項目之后，我會寫到一段文字里，傳到區塊鏈上，作為“預言”。日后我預言到的項目大火了，大家都能知道“這小伙兒眼光不錯”

　　沒想到還能挖出這些幽靈倉庫來。果然是黑暗森林，第一次真切感受到有人在 Github 上從事這些社會工程學活動。

　　不過現在情況還算好的，這些倉庫基本都是同一個風格，說明干這事兒的基本上就只有一個組織。

　　上面的追兇推理是推測，還沒有被官方證實。

　　存在惡意倉庫、僵尸賬號，這些是實錘的。

　　至于實際創建者是不是 BrunoSobrino 等人，存疑。

　　事實:“BrunoSobrino 自稱是TheShadowBrokers(一個有名的黑客團體)，且他主動關注了僵尸賬號。”

　　由這個事實能否認為他就是實控人，需要各位看官自行判斷。

　　e/1EZ9e證據

　　我知道曝光之后，他們肯定會刪庫的，因此我已經提前把所有網頁都備份到 GhostArchive 了。

　　我挖掘到的惡意倉庫列表，也全都放在了區塊鏈上，形成鐵證。

　　各位看官不必信任我，請直接去查看區塊鏈。所有記錄都在里面。