黑客借 GitHub 撒网投毒:超 200 个仓库暗藏远控木马、挖矿程序等恶意软件
自2026年1月起,不法分子利用GitHub代码托管平台,通过一个伪装成DNS和子域名扫描工具的Go语言模块,向开发者和用户分发了多种针对Windows系统的恶意软件,包括远程访问木马(RAT)、信息窃取器和加密货币挖矿程序。
Socket研究团队最初发现的恶意Go模块位于github [.]com / kaleidora / dnsub-scanning-tool。该模块的README文件指向了一个合法的开源子域名枚举项目dnsub,但其发布的包却隐藏在不同的GitHub命名空间下。该模块自2026年1月24日发布首个版本以来,在短短数月内发布了超过1200个版本,其中超过700个被确认为恶意版本。
Socket分析指出,这种异常的版本发布并非正常的开发流程,而是攻击者利用GitHub Actions工作流,通过每分钟定时提交并强制推送重写的日志文件,人为制造了大量Go“伪版本”。
恶意模块在其main.go文件中隐藏了恶意行为。在执行扫描逻辑之前,它会启动一个隐藏的PowerShell窗口,从攻击者控制的域名muckcoding.com下载一个编码文件,并使用Windows自带的certutil工具将其解码为PowerShell脚本L.ps1,然后绕过执行策略运行该脚本。攻击者并未在脚本中硬编码最终的恶意载荷URL,而是采用了一种名为“死信解析器”(Dead Drop Resolver)的技术。解码后的L.ps1脚本会从Pastebin、Rlim等公共粘贴服务,以及YouTube、Instagram、Telegram、Google Docs和GitCode等公共平台获取加密的载荷位置信息。脚本会搜索特定的标记字符串“LastW”,并使用硬编码密钥解密出真实的下载地址。这种设计允许攻击者在某个粘贴内容或域名被封禁时,迅速更新公共平台上的解析内容,而无需修改第一阶段的载荷。
最终解析出的URL指向一个托管在GitHub Release上的、受密码保护的7-Zip压缩包。该载荷会被解压至一个仿冒微软照片应用的目录中,并以隐藏窗口启动其中的Microsoft.exe文件。经分析,最终投放的恶意软件家族包括AsyncRAT、Quasar、Remcos等远程访问木马,以及Vidar等信息窃取器。
以此恶意模块为起点,Socket团队进一步揭露了一个规模更大的GitHub诱饵网络,该网络包含190个账户下的222个已确认的诱饵代码仓库。
这些仓库的共同特征是使用了一个特定的GitHub Actions工作流,该工作流将Git提交邮箱统一设置为[email protected],同时将可见的提交用户名设置为当前仓库的所有者。这种“邮箱统一、用户名可变”的模式,使得攻击者能在大量一次性账户上制造出归属不同所有者的活跃提交记录,并留下了一个可追踪的固定指纹。这些仓库会每分钟重写一次日志文件并进行强制推送,制造出仓库正在积极维护的假象。
这些诱饵仓库的主题高度集中,主要围绕加密货币和Web3工具、钱包集成、助记词工具、交易所自动化机器人、游戏外挂(如《PUBG》、《无畏契约》和《逃离塔科夫》)以及Telegram和Discord机器人等。
Socket确认,在这些仓库中至少发现了14个不同的恶意文件,包括木马加载器、下载器、Vidar窃密软件、间谍软件、释放器以及门罗币挖矿程序。其中一个名为Loader.exe的文件在四个不同的仓库中完全相同。
Socket高度确信,“Muck and Load”行动与安全厂商Sophos在2025年6月披露的、同样关联邮箱[email protected]的大规模GitHub后门活动属于同一攻击者集群。当时Sophos的研究人员追踪到141个相关仓库,其中133个被植入了后门。Sophos指出,“Muck”是该攻击者使用的别名之一,这也解释了本次活动中出现的muckcoding.com和muckdeveloper.com等域名。
目前,GitHub官方及Go语言安全团队尚未公开回应此事,但Go安全团队已迅速响应,将相关恶意模块从Go模块代理(Go module proxy)中屏蔽。
广大开发者和用户应警惕来源不明、版本号异常激增或功能描述可疑的软件包,特别是声称具有加密货币、游戏外挂或黑客工具等功能的项目,切勿轻易下载或运行其中包含的代码与可执行文件。
「如果故事節奏慢下來,別怕大刀闊斧地修改。」
这是我们系列文章的第一篇,聚焦于背景故事的撰写与发展。后续还会有更多精彩内容,敬请期待!别忘了在评论区告诉我,你还想看哪些主题的文章!



老球迷
很高兴您与年轻有抱负的作家们分享这些技巧。即使他们不写小说,我相信他们能从像您这样技艺精湛的作家那里学到新东西,这将非常有益。我很乐意听取一些关于作家如何在不删减章节的情况下发展情节的建议(我经常在年轻作家的书中看到这种情况)。总之,感谢您的这篇博文,它信息量很大!
新晋球迷
我非常赞同你最后一点,同时我也觉得,找到正确的方式来塑造主要角色之间的关系,会为故事增色不少。这绝对会很有趣!