警惕！SourceForge 平台遭滥用，伪装 Office 插件分发加密货币恶意软件

大家好，今天带来一则重要的安全警报：知名开源软件托管平台 SourceForge 近期被发现遭到威胁行为者滥用，用于分发伪装成 Microsoft Office 插件工具的恶意软件。卡巴斯基的安全研究人员最早发现了这一攻击活动，据称已影响超过 4600 个系统，其中大部分位于俄罗斯。

技术细节剖析：

SourceForge 本身是一个合法的、广受欢迎的软件托管和分销平台，尤其在开源社区中享有盛誉。然而，其开放的项目提交流程也为恶意活动提供了可乘之机。

此次攻击中，威胁行为者创建了一个名为 "officepackage" 的项目，并利用了 SourceForge 的多方面特性：

1. 伪装与诱导
   
   攻击者不仅模仿微软官方 GitHub 项目 'Office-Addin-Scripts' 的描述和文件结构，还利用 SourceForge 提供的 *.sourceforge.io 子域网页托管功能，搭建高仿真钓鱼页面 (officepackage.sourceforge.io)。该页面通过 SEO 优化吸引搜索 "office add-ins" 的用户。
2. 初始载荷投递
   
   通过钓鱼页面诱导用户下载含密码保护的 installer.zip 和密码文件的 ZIP 包，利用密码保护初步规避自动扫描。
3. MSI 安装程序与反规避
   
   解压得到的 installer.msi 文件，其本身作为 Windows Installer 包，被用作一个便捷的容器来打包初始文件并执行预设的恶意安装流程。同时，该文件被异常膨胀至 700MB，旨在通过大文件体积干扰或超时 AV 扫描。
4. 执行链启动
   
   运行 MSI 会按预设逻辑释放 UnRAR.exe (合法工具) 和 51654.rar (核心载荷包)，并启动 VBScript。
5. 脚本执行与环境检测 (confvk.bat)
   
   VBScript 从 GitHub 拉取 confvk.bat。此脚本执行反分析检查（VM、沙箱、AV 检测），并在确认环境后下载 confvz.bat 并解压 51654.rar。
6. 持久化建立 (confvz.bat)
   
   confvz.bat 负责通过修改 Windows 注册表键值（如 Run / RunOnce 等自启动项）和创建新的 Windows 服务来建立持久化。
7. 核心恶意载荷
   
   51654.rar 内含：
• Input.exe
  
  AutoIT 解释器，用于执行混淆的 .au3 脚本或加载 DLL，增加逆向难度。
• ShellExperienceHost.exe
  
  伪装成类似系统进程名的 Netcat 反向 Shell 工具。这种命名策略旨在迷惑用户和初级安全审查。其功能是主动连接 C2 服务器，建立远程命令行通道。
• Icon.dll
  
   (Miner): 加密货币挖矿程序。
• Kape.dll
  
   (Clipper): 剪贴板劫持器，监控并替换符合格式的加密货币地址。
8. 恶意行为
   
   挖矿消耗资源，Clipper 窃取转账资金。
9. C2 通信与扩展 (Telegram API)
   
   攻击者利用 Telegram API 作为 C2 通道，实现双向通信：既能接收受害者系统信息（数据外泄），也能远程下发指令或推送新恶意模块。

安全建议：

• 来源验证
  
  下载软件时，务必仔细核查发布者身份和信誉，即使是在知名平台。对不熟悉的开发者或项目保持警惕。
• 官方渠道优先与交叉验证
  
  首选官方网站或官方代码仓库。若在第三方平台找到所需软件，主动与官方发布的信息进行交叉比对，确认一致性。
• 深度扫描与行为监控
  
  执行前用最新的 AV 工具进行深度扫描。考虑使用支持行为监控的安全软件，以检测可疑的运行时活动。
• 警惕异常下载特征
  
  对需要密码解压、文件名可疑、体积异常（过大或过小）、下载流程复杂的软件包保持高度警惕。
• (开发者注意)
  
  保护好自己的代码仓库访问权限和发布流程，定期审计依赖项，防止供应链被恶意利用或代码被非法拷贝、篡改后重新分发。

这次事件再次提醒我们，即使是信誉良好的平台也可能被恶意利用。保持警惕，遵循安全实践至关重要。希望以上深度技术解析能帮助大家更好地理解此类攻击的策略与技巧，共同提升网络安全防范能力。

原文始发于微信公众号（技术修道场）：警惕！SourceForge 平台遭滥用，伪装 Office 插件分发加密货币恶意软件