总计 $160.00

关于我们

在专业攻略评测,助你轻松通关。方面,九游官网提供贴心周到的支持。

九游官网以热门新游速递,从未错过。为核心,带来高效便捷的体验。

想了解更多多元社区互动,发现更多乐趣。相关内容,尽在九游官网。

+86 138-

[email protected]

社区互动,连接玩家

深度解析,助你玩转游戏 - 九游官网

自 2026 年 1 月以来,恶意行为者利用 GitHub 代码托管平台,通过一个伪装成 DNS 及子域名扫描工具的 Go 语言模块,向开发者和用户散播多种针对 Windows 系统的恶意软件,包括远程访问木马(RAT)、信息窃取器和加密货币挖矿程序。

Socket 研究团队最初发现的恶意 Go 模块位于 github [.]com / kaleidora / dnsub-scanning-tool。该模块的 README 文件指向了一个合法的开源子域名枚举项目 dnsub,但其发布的包却位于一个不同的 GitHub 命名空间下,以此作为掩护。该模块的包元数据显示异常:自 2026 年 1 月 24 日首次发布以来,短短数月内已发布超过 1200 个版本,其中超过 700 个被确认包含恶意代码。

Socket 分析指出,这种版本数量的激增并非正常的版本管理行为,而是攻击者利用 GitHub Actions 工作流,通过每分钟自动提交并强制推送重写的日志文件,人为制造出大量 Go“伪版本”记录。

该恶意模块在其 main.go 文件中隐藏了恶意活动。在执行任何扫描功能之前,它会启动一个隐藏的 PowerShell 窗口,从攻击者控制的域名 muckcoding.com 下载一个编码文件,并利用 Windows 内置的 certutil 工具将其解码为 L.ps1 PowerShell 脚本,然后以绕过执行策略的方式运行该脚本。Socket 提到,攻击者并未将最终的恶意载荷 URL 硬编码在脚本中,而是采用了“死信解析器”(Dead Drop Resolver)技术。解码后的 L.ps1 脚本会从 Pastebin、Rlim 等公共粘贴服务,以及 YouTube、Instagram、Telegram、Google Docs 和 GitCode 等公共平台获取加密的载荷位置信息。脚本会搜索特定的标记字符串“LastW”,然后使用硬编码的密钥解密出真实的下载地址。这种设计允许攻击者在特定粘贴内容或域名被封禁时,快速更新公共平台上的解析信息,而无需修改第一阶段的载荷。

最终解析出的 URL 指向一个托管在 GitHub Release 上的、受密码保护的 7-Zip 压缩包。该载荷会被解压至一个模仿微软照片应用的目录中,并以隐藏窗口模式启动其中的 Microsoft.exe 文件。分析显示,最终投放的恶意软件包括 AsyncRAT、Quasar、Remcos 等远程访问木马,以及 Vidar 等信息窃取器。

通过这个恶意模块,Socket 团队进一步揭露了一个规模更大的 GitHub 诱饵网络,该网络包含 190 个账户下的 222 个已确认的诱饵代码仓库。

这些仓库的共同点是使用了一个特定的 GitHub Actions 工作流,该工作流将 Git 提交邮箱统一设置为 [email protected],并将可见的提交用户名设置为当前仓库的所有者。这种“邮箱统一、用户名可变”的模式,使得攻击者能够在大量一次性账户上制造出属于不同所有者的活跃提交记录,同时留下了一个可追踪的固定线索。这些仓库每分钟会重写一次日志文件并进行强制推送,制造出仓库正在积极维护的假象。

这些诱饵仓库的主题高度集中,主要涉及加密货币和 Web3 工具、钱包集成、助记词工具、交易所自动化机器人、游戏外挂(如《PUBG》、《无畏契约》和《逃离塔科夫》)以及 Telegram 和 Discord 机器人等。

Socket 确认,在这些仓库中发现了至少 14 种不同的恶意文件,包括木马加载器、下载器、Vidar 窃密软件、间谍软件、释放器以及门罗币挖矿程序。其中一个名为 Loader.exe 的文件在四个不同的仓库中是完全相同的。

Socket 坚信,“Muck and Load”行动与安全厂商 Sophos 在 2025 年 6 月披露的、同样关联邮箱 [email protected] 的大规模 GitHub 后门活动属于同一攻击者集群。当时 Sophos 的研究人员追踪到 141 个相关仓库,其中 133 个被植入了后门。Sophos 还指出,“Muck”是该攻击者使用的别名之一,这也解释了本次活动中出现的 muckcoding.com 和 muckdeveloper.com 等域名。

目前,GitHub 官方和 Go 语言安全团队尚未就此事发表公开评论,但 Go 安全团队已迅速响应,将相关恶意模块从 Go 模块代理(Go module proxy)中屏蔽。

广大开发者和用户应警惕来源不明、版本号异常激增或功能描述可疑的软件包,特别是那些声称具备加密货币、游戏外挂或黑客工具等功能的项目,切勿轻易下载或运行其中包含的代码与可执行文件。

九游互娱网络科技有限公司,自2008年起,便以玩家为中心,持续提供优质游戏内容与服务。我们是连接全球玩家精彩游戏体验的可靠平台。 —— 九游玩家

深度解析,助你玩转游戏

深度解析,助你玩转游戏 - 九游官网
深度解析,助你玩转游戏 - 九游官网

九游互娱网络科技有限公司,自2008年起,便以玩家为中心,持续提供优质游戏内容与服务。我们是连接全球玩家精彩游戏体验的可靠平台。

海量游戏资讯,一手掌握。
专业攻略评测,助你轻松通关。
热门新游速递,从未错过。
多元社区互动,发现更多乐趣。

玩家互动,分享游戏乐趣

  • 2026年5月15日 玩家A 九游互娱网络科技有限公司,成立于2008年,是您发现优质游戏的首选平台。我们提供海量游戏资讯,助您连接更多精彩体验。 回复
  • 2026年5月15日 玩家B 九游互娱网络科技有限公司,自2008年以来,始终致力于为玩家提供优质游戏内容与服务。我们是连接全球玩家精彩游戏体验的可靠平台。 回复
  • 2026年5月15日 玩家C 九游互娱网络科技有限公司,成立于2008年,是您值得信赖的游戏信息服务商。我们提供覆盖动作、角色、策略、休闲等多种类型的手游资讯。 回复

发表您的看法

您的邮箱地址不会公开显示。请填写标有星号 (*) 的必填项。

记住我的名字、邮箱和网站,以便下次评论。

游戏分类

  • 游戏攻略
  • 新游速递
  • 游戏评测
  • 热门资讯
  • 玩家社区

最新文章

2025年1月21日
攻略在手,通关无忧
2026年5月15日
掌握游戏动态,轻松赢得胜利
2026年5月14日
新游速递,精彩不容错过

有兴趣 预定吗?

+86 +86 188 2609 7073

游戏资讯详情 - 九游官网 游戏资讯详情 - 九游官网

有疑问?随时联系。

获取攻略