據了解，威脅者正在濫用 SourceForge 分發假冒的微軟插件，這些插件會在受害者的電腦上安裝惡意軟件，以同時挖掘和竊取加密貨幣。

SourceForge.net 是一個合法的軟件托管和分發平臺，還支持版本控制、錯誤跟蹤以及專門的論壇/維基，因此在開源項目社區中非常受歡迎。

盡管其開放的項目提交模式為惡意行為留下了很大的空間，但實際上通過它傳播惡意軟件的情況卻極為罕見。

卡巴斯基發現的新一輪攻擊已影響到超過 4604 臺系統，其中大部分位于俄羅斯。

盡管惡意項目已不在 SourceForge 上，但卡巴斯基表示，該項目已被搜索引擎收錄，吸引了搜索“辦公插件”或類似內容的用戶訪問。

源代碼托管網站 SourceForge 上的惡意軟件出現在搜索結果中

假冒Office插件

“officepackage”項目是一個Office插件開發工具的集合，其描述和文件是GitHub上合法的微軟項目“Office-addin-scripts”的副本。

惡意項目（左）和合法工具（右）

然而，當用戶在谷歌search（和其他引擎）上搜索office插件時，他們得到的結果指向“officpackage .sourceforge”。由SourceForge提供給項目所有者的單獨的web托管功能提供支持。

該頁面模仿了一個合法的開發者工具頁面，顯示了“Office插件”和“下載”按鈕。如果單擊任何一個，受害者將收到一個包含密碼保護的歸檔文件（installer.zip）和帶有密碼的文本文件的ZIP文件。

散布惡意軟件的網站

該歸檔文件包含一個MSI文件（installer.msi），其大小膨脹到700MB，以逃避AV掃描。運行它會刪除‘UnRAR.exe’和‘51654.rar ’，并執行一個Visual Basic腳本，從GitHub獲取批處理腳本（confvk.bat）。

該腳本執行檢查，以確定它是否在模擬環境中運行，以及哪些防病毒產品處于活動狀態，然后下載另一個批處理腳本（confvz.bat）并解壓縮RAR歸檔文件。

bat腳本通過修改注冊表和添加Windows服務來建立持久性。

RAR文件包含一個AutoIT解釋器（Input.exe）， Netcat反向shell工具（ShellExperienceHost.exe）和兩個有效負載（Icon.dll和Kape.dll）。

完整的感染鏈

DLL文件是一個加密貨幣礦工和一個剪刀。前者劫持機器的計算能力，為攻擊者的賬戶挖掘加密貨幣，后者監控剪貼板上復制的加密貨幣地址，并將其替換為攻擊者控制的地址。

攻擊者還通過Telegram API調用接收受感染系統的信息，并可以使用相同的通道向受感染的機器引入額外的有效負載。

這次活動是威脅者利用任何合法平臺獲得虛假合法性和繞過保護的另一個例子。所以建議用戶應從可信的出版商那里下載軟件，并在執行之前使用最新的反病毒工具掃描所有下載的文件。

參考及來源：https://www.bleepingcomputer.com/news/security/fake-microsoft-office-add-in-tools-push-malware-via-sourceforge/