在此次攻击中,域名 dieserbenni [.] ru 与多个恶意仓库关联紧密。逆向实验室的分析显示,攻击涉及 67 个虚假 GitHub 仓库,攻击者运用动态生成后门有效载荷、采用 Base64、十六进制及 Fernet 加密混淆 Python 脚本等手段,并且部分恶意基础设施与香蕉小队此前的攻击活动存在关联。值得警惕的是,攻击者利用 GitHub 界面代码不换行的特性,将恶意代码隐藏在屏幕可视范围外,即便使用 4K 显示器,若不切换为十六进制视图或借助 Spectra Analyze 等取证工具,也难以察觉。以 degenerationred 仓库中的 file-extension-spoofer.py 文件为例,表面看似正常,经逆向实验室工具深入检测,才发现其中嵌入恶意载荷。
逆向实验室通过威胁情报日志中的恶意 URL 溯源,结合 Spectra Assure 工具对比仓库的干净版本与受感染版本,识别出攻击线索,如名称怪异的单仓库 GitHub 账户、仓库描述中包含火焰和火箭表情符号、README 文件及代码中嵌入动态生成字符串等。这些恶意 Python 文件经多层加密混淆后,会连接到 dieserbenni [.] ru 和 1312services [.] ru 等域名获取最终攻击载荷,包含系统侦察工具、数据窃取程序和键盘记录器等。
