關鍵詞

惡意軟件

最近，Sophos X-Ops 團隊曝光了一起極為特殊的惡意軟件事件：這次中招的不是企業、政府、普通網民，而是——其他黑客和游戲作弊者。

故事的主角是一款名為Sakura RAT的開源遠程訪問木馬（RAT）。表面上看，這是一個托管在 GitHub 上、供腳本小子和菜鳥黑客學習用的“工具項目”。但研究人員深入分析后發現，這其實是一個精心布下的“套娃陷阱”，從代碼構建的那一刻起，開發者本人就已經掉入了圈套。

一名 Sophos 客戶在例行安全審查時詢問：“Sakura RAT 我們防得住嗎？”于是 Sophos 團隊開始審查這款工具的源代碼，結果發現這個木馬本身幾乎無法正常運行，大量代碼被偷拼湊自其他知名惡意軟件（如 AsyncRAT），項目本身殘缺不全、漏洞百出。

但這只是迷局的一角。研究人員注意到在 Visual Basic 項目的.vbproj文件中隱藏了一段 事件代碼，這段代碼會在用戶點擊“編譯”按鈕時自動下載并執行惡意腳本，也就是說——真正的受害者不是被攻擊的目標，而是那些試圖使用 Sakura RAT 的人。這些人往往是技術不成熟、幻想“一鍵控制全網”的業余攻擊者，而他們正中了圈套。

追蹤惡意代碼來源時，研究人員在 GitHub 的配置文件中發現一個郵箱地址：ischhfd83[at]rambler.ru，并由此找到了至少141 個惡意代碼倉庫，其中133 個嵌入了后門，大量使用 技巧。這些倉庫偽裝成各類熱門資源——游戲外掛、病毒生成器、網絡掃描工具等等，誘導年輕人或不法分子自行“中毒”。

Sakura RAT 的感染鏈條非常復雜，尤其是在 Visual Studio 環境下表現得尤為狡猾：

• 項目編譯時，PreBuild腳本自動釋放.vbs文件；

• 腳本執行后，觸發 PowerShell 下載一個.7z壓縮包；

• 解壓后，運行一個基于 Electron 的偽裝應用SearchFilter.exe；

• 程序內藏有巨大的 JavaScript 文件，負責信息竊取、創建計劃任務、繞過 Defender 防護，并通過 Telegram 將受害者信息發送給攻擊者。

這些信息包括用戶名、主機名、網卡地址等敏感數據。此外，Sophos 還發現了其他形式的后門植入方式：

• 使用 Fernet 加密的 Python 腳本，借助空格與換行隱藏關鍵內容；

• 利用右到左字符隱藏擴展名的.scr屏保程序；

• 多段式 eval() JavaScript 木馬，嵌套混淆代碼逃避檢測。

更離譜的是，這些 GitHub 倉庫還進行了自動化維護，包括 GitHub Actions 自動提交偽造內容、使用重復賬號（如 Mastoask、Mastrorz 等）制造“活躍項目”的假象，讓人誤以為這些代碼是高質量、有社區支持的開源資源。

雖然無法確定ischhfd83的真實身份，但有跡象顯示該人物或與 “Stargazer Goblin” 等早期惡意軟件即服務（DaaS）項目有關聯。惡意腳本中嵌入的 Telegram 控制端賬號指向一個 ID 為“unknownx”的身份。團隊還追蹤到一個名為arturshi.ru的可疑域名，曾經用于虛假“網紅培訓課程”，現已轉向金融詐騙頁面。

Sophos 最后總結道：“我們懷疑這個事件背后還有更大的故事，目前仍在持續追蹤。”

無論你是網絡安全研究員、程序員，還是一時心動的“黑客小白”，這次事件都是一個明確的警告：在黑產世界里，弱肉強食早已不是新聞，連黑客也在互相獵殺。

在這個連“惡意工具”都可能是釣魚陷阱的時代，安全意識和警覺性才是真正的護身符。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！