当你在 GitHub 上搜索游戏辅助工具或开发插件时,看似普通的开源仓库可能暗藏杀机。近期,网络安全领域又曝光一起供应链的攻击事件 —— 黑客利用超 200 个伪装成合法工具的恶意仓库,在全球范围内针对游戏玩家和开发者展开精准攻击。
伪装成 "神器" 的恶意仓库:从 PyPI 到 GitHub 的攻击升级
网络安全公司 ReversingLabs 披露了一场代号为 "香蕉小队"(Banana Squad)的攻击活动。黑客在 GitHub 上创建了67 个伪装仓库 ,表面宣称提供 Python 黑客工具、游戏作弊器(如《堡垒之夜》外挂、Discord 账号清理工具),实则植入木马程序。这些恶意代码会窃取 Windows 系统敏感信息,并将数据传输至黑客控制的服务器(如 dieserbenni [.] ru)。
值得警惕的是,这并非黑客首次利用开源生态作恶。早在 2023 年,同一团伙就曾通过 PyPI(Python 官方包管理器)发布 75000 次下载的恶意软件,而此次攻击则是其从包管理平台向代码托管平台的升级。攻击者甚至会复制合法仓库名称,利用 GitHub 搜索算法将恶意项目推至前列,诱使用户下载。
GitHub 沦为 "恶意软件分发站":多团伙盯上开源生态
如今,GitHub 正成为黑客眼中的 "理想战场"。近期曝光的多起攻击事件显示:
- "水诅咒"(Water Curse)团伙运营 76 个恶意仓库,通过多阶段恶意软件窃取浏览器数据、会话令牌,并实现对受害者电脑的长期控制;
- "星舰幽灵网络"(Stargazers Ghost Network)针对《我的世界》玩家,利用 Java 恶意软件感染系统。该团伙通过伪造 "星标"、频繁更新仓库等手段,让恶意项目在搜索结果中排名靠前;
- "樱花 RAT" 攻击Sophos 发现 133 个后门仓库,攻击者将恶意代码隐藏在 Visual Studio 预编译事件、Python 脚本中,甚至利用屏保文件和 JavaScript 窃取数据,关联的攻击活动可追溯至 2022 年 8 月。
这些攻击的共同点在于:
利用用户对开源平台的信任,将恶意代码伪装成热门工具,并通过 Discord、YouTube 等社交平台扩大传播范围。
面对愈演愈烈的开源供应链攻击,网络安全专家提出三点建议:
下载前 "三重验证"
- 核对仓库 URL 是否与官方一致(警惕拼写错误,如将 "github.com"改为"g1thub.com");
- 检查项目提交记录和贡献者身份,避免使用无人维护或突然更新的仓库;
- 使用安全工具扫描代码包(如 Sonatype Nexus、OWASP Dependency-Check)。
2. 警惕 "免费午餐" 陷阱
游戏作弊工具、加密货币薅羊毛脚本等 "灰色工具" 是重灾区。黑客深知用户对这类工具的需求,会针对性地植入窃密程序,甚至反向感染试图使用恶意工具的黑产人员(如近期曝光的 "攻击者攻击攻击者" 案例)。
3. 建立最小权限原则
开发者应限制第三方代码的执行权限,避免为开源组件开启过高系统访问权限。普通用户则需注意:不要在运行可疑程序时登录银行、加密货币钱包等敏感账户。
"开源软件的安全性不应仅依赖平台审核,更需要用户养成安全习惯。"Sophos 首席安全官 Chet Wisniewski 指出,当前多起攻击存在技术重叠(如均使用 Electron 框架、滥用 Visual Studio 预编译功能),暗示背后可能存在代码共享或团伙协作。随着 AI 工具的普及,未来黑客甚至可能利用自动化手段批量生成伪装仓库,进一步提升攻击效率。
从 PyPI 到 GitHub,黑客的攻击版图在不断扩张,但核心逻辑始终是利用人性的 "便利心理"。对于企业而言,建立开源组件供应链监控体系
尤为重要。通过实时追踪开源项目的安全性、检测依赖项中的已知漏洞,可有效降低被 "供应链攻击" 波及的风险。而普通用户则需记住:在开源世界,"免费" 的代价可能是你的隐私与数据安全。
沈传宁:落实《网络数据安全管理条例》,提升全员数据安全意识
