潜伏的致命威胁：伪装DeepSeek工具的木马病毒曝光！

经分析，该木马基于Electron框架构建，并集成了反调试和虚拟机检测能力，能够规避常规的安全分析环境。木马在执行前会悄然下载并部署特定版本的Node.js环境，通过多重加密验证及解密手段对关键组件进行保护。同时，木马还会直接从云端获取并解密远程恶意载荷以实现动态更新和远控操作。

钓鱼传播

该木马从传播开始就是利用了DeepSeek的热度。其幕后黑客精心构建了一个与DeepSeek官网高度相似的钓鱼页面，普通用户一旦被诱导访问该页面，是难以分辨其真伪的。

样本行为分析

木马安装包被执行后，会检测特定分析工具类进程。如果存在则退出执行，以此来避免自身被安全人员分析。

被检测的相关分析工具完整检测列表如下图：

而在木马的代码前部，就加载了JavaScript脚本并访问C2服务器。这些相关内容均通过Base64算法进行了编码。

图6. 经Base64编码后的JavaScript脚本及C2服务器

此外，木马还巧妙的利用了Google日历的记录功能，通过自定义其中内容来实现随时在线调整跳转C2服务的配置信息。

而黑客在编写木马时，还使用了AES-CBC加密算法加密了木马载荷。而加密时所用的KEY和IV为随机生成，并存入到了Redis数据库中并设置了15天的缓存时常。数据库地址为如下：

redis://45.93.20.174:6379

木马会从Node.js官网下载特定版本的压缩包并解压到本地，以便后续利用该 Node.js 执行环境来运行后续任务。

而在完成Node.js的部署后，会进行下一步的操作。木马首先会通过一段动态构造的脚本代码来实现远程动态加载与解密执行过程。而该代码还会根据传入的模块路径生成一段 JavaScript代码，并将其转换为Base64编码后的字符串。

在其生成的代码中，首先会通过fetch函数从如下远程地址中获取数据：

hxxps://appliedaibusiness.com/ get_encrypt_file

在获取到远程的响应后，便可从响应头中读取到被用于AES解密的密钥(X-Encryption-Key)与IV值(X-Encryption-IV)。接下来，木马会对响应内容的加密数据进行解密，再调用传入模块中的run方法处理解密后的数据。

木马会在这部分功能代码中构造目标文件路径，根据 process.resourcesPath 的值找到 index.node 模块文件，再通过checkFileHash验证目标文件的完整性。若校验通过，则利用预设的Key与IV对index.node内容进行解密，并写回到index.node的同路径中。

解密完成后，木马会等待2秒再通过childProcess.execSync创建一个子进程来执行命令。执行的命令会调用Node.js可执行文件，并通过-e参数执行内嵌的代码。内嵌代码由上文提及的script函数生成，执行时会进一步从远程服务器获取加密数据解密后执行。

利用工具对该木马的网络通信进行抓包分析，我们对其中一个载荷进行了解密。

根据抓包数据中捕获到的加密相关密钥及参数，对该载荷中的JavaScript脚本进行解密。我们发现该脚本主要用于窃取虚拟货币钱包，并替换转账钱包地址。此外，该脚本还会创建启动项的PowerShell脚本以实现持久化攻击。

该脚本中的虚拟币钱包相关的部分内容如下：

安全提示

目前监测数据显示，该木马主要在境外传播。但仍需要提醒广大用户——尤其是需要部署或测试DeepSeek的IT从业人员注意外部应用的来源可信度。

除了提高自身安全意识及警惕性外，还建议安装具有足够安全功能的浏览器对访问的页面进行安全性鉴定。同时，安装并启用安全软件，对下载的文件进行安全扫描。以此来确保系统得到全方位的安全防护。

IOCs

SHA1

c01b0664c7a42b394a465e20b750f61d77fb967e

URLs

hxxp://95.179.216.217/5ou0TFIDJzHNchpRhdRV1w%3D%3D

hxxps://calendar.app.google/ff2VfSHoCZWzFD9D8

redis://45.93.20.174:6379

SIGNATURE

K.MY TRADING TRANSPORT COMPANY LIMITED