当前位置：首页 > news >正文

越南黑客组织利用GitHub构建僵尸网络：近一年投放600余个StealC恶意压缩包

news 2026/5/3 17:36:34

ESET安全实验室近期披露了一起持续时间极长、分发规模惊人的GitHub恶意软件分发事件。幕后运营者是一个以越南语为母语的黑客团伙，他们将全球最大的代码托管平台改造成了信息窃取类木马的"官方应用商店"。从2025年3月到2026年初，这套攻击体系在众目睽睽之下运转了近十个月，直到今年年初才被URLhaus首次标记异常。

攻击规模：47个账号，600余个独立恶意包

根据现有取证数据，研究人员已经在超过47个GitHub账号中确认了600多个互不相同的恶意ZIP压缩包。这意味着攻击者并非简单复制粘贴，而是为每个仓库单独打包了载荷。更棘手的是，截至2026年3月初，至少有25个账号仍在活跃状态，持续向仓库推送更新。

这种"广撒网+持久战"的模式，本质上已经构成了一套基于GitHub的半自动化僵尸网络。与过去常见的临时性挂马不同，该团伙把GitHub当成了长期运营的基础设施——利用平台本身的可信度和高可用性，绕过多数企业防火墙对GitHub域名的白名单限制。

诱饵设计：专挑"灰色需求"下手

该组织对社会工程学的拿捏相当精准。他们创建的仓库名称和描述极具迷惑性，主要覆盖四类高危下载场景：

SaaS工具破解版与浏览器扩展插件
游戏外挂与作弊工具
开发者生产力工具的"免费版"
成人内容相关资源

每一类都精准击中了用户"想省钱、想走捷径"的心理弱点。仓库页面通常伪装得像模像样，附带README说明和版本号，甚至模拟正常项目的提交记录。一旦用户下载并解压其中的ZIP文件，LuaJIT加载器链条便会在后台静默启动。

技术迭代：16代混淆器背后的工程化能力

ESET追踪发现，该活动中出现的LuaJIT加载器已经历了至少16个版本的混淆迭代，检测签名从早期的Lua/Agent.Z一路演变到Lua/Agent.BT。这种更新频率在地下恶意软件市场中相当罕见，说明该团伙具备持续的开发维护能力，而非简单购买现成工具。

多级加载器的设计思路很清晰：第一层LuaJIT脚本负责环境检测和反调试，随后逐层释放下一阶段载荷。整个过程不落地敏感字符串，所有关键配置都通过外部渠道动态获取——这就引出了此次攻击最值得关注的技术亮点。

把Polygon主网当"通信簿"：区块链C2的实战化应用

传统木马通常把C2服务器地址硬编码在样本里，或者使用DGA域名生成算法。该团伙的做法则完全跳出了这一框架：他们将Polygon主网智能合约当作去中心化的"通信簿"。

具体而言，加载器在运行时会调用部署在Polygon链上的智能合约函数，从合约存储状态中解析出当前有效的C2服务器IP地址。攻击者只需要发起一笔链上交易更新存储内容，全球所有受感染主机就能在下次通信时自动切换到新地址。

这种设计的实战优势非常明显：

抗关停：域名或IP被安全厂商封禁后，无需重新编译、重新传播整个恶意软件，一次链上交易即可完成基础设施迁移。
抗分析：静态分析样本几乎无法预测下一次通信目标，因为地址是实时从区块链读取的。
低成本：Polygon主网交易费用极低，维护整个C2地址库的年花费可能不足几十美元。

从战术层面看，这标志着区块链技术在APT级恶意软件控制通道中的成熟落地。过去学术界讨论多年的"区块链C2"概念，已经被该团伙商品化、实战化。

四层解密后的真身：StealC信息窃取木马

与C2建立连接后，加载器会从GitHub上的"死信箱"仓库拉取最终载荷。该载荷经过四层密集解密——依次是十六进制解码、异或运算、Base64URL解码和AES-ECB对称解密——最终暴露出核心恶意程序：StealC信息窃取木马。

StealC在地下论坛已流通一段时间，但此次部署的版本功能相当全面：

凭据收割：自动提取Chrome、Edge、Firefox等主流浏览器保存的密码与自动填充表单数据。
会话劫持：收集Cookie及身份认证令牌，为绕过多因素认证（MFA）提供素材。很多用户以为开了MFA就高枕无忧，实际上令牌被盗后攻击者完全可以直接"借用"你的登录状态。
系统侦察：采集详细硬件与软件环境信息，按关键词检索特定目录下的敏感文件并回传。
模块扩展：通过PowerShell或msiexec通道下载执行额外恶意模块，意味着初始感染只是第一步，后续还可能投递勒索软件或远控木马。