关键词
恶意软件
最近,Sophos X-Ops 团队曝光了一起极为特殊的恶意软件事件:这次中招的不是企业、政府、普通网民,而是——其他黑客和游戏作弊者。
故事的主角是一款名为 Sakura RAT 的开源远程访问木马(RAT)。表面上看,这是一个托管在 GitHub 上、供脚本小子和菜鸟黑客学习用的“工具项目”。但研究人员深入分析后发现,这其实是一个精心布下的“套娃陷阱”,从代码构建的那一刻起,开发者本人就已经掉入了圈套。
一名 Sophos 客户在例行安全审查时询问:“Sakura RAT 我们防得住吗?”于是 Sophos 团队开始审查这款工具的源代码,结果发现这个木马本身几乎无法正常运行,大量代码被偷拼凑自其他知名恶意软件(如 AsyncRAT),项目本身残缺不全、漏洞百出。
但这只是迷局的一角。研究人员注意到在 Visual Basic 项目的 .vbproj
文件中隐藏了一段 <PreBuild>
事件代码,这段代码会在用户点击“编译”按钮时自动下载并执行恶意脚本,也就是说——真正的受害者不是被攻击的目标,而是那些试图使用 Sakura RAT 的人。这些人往往是技术不成熟、幻想“一键控制全网”的业余攻击者,而他们正中了圈套。
追踪恶意代码来源时,研究人员在 GitHub 的配置文件中发现一个邮箱地址:ischhfd83[at]rambler.ru
,并由此找到了至少 141 个恶意代码仓库,其中 133 个嵌入了后门,大量使用 <PreBuild>
技巧。这些仓库伪装成各类热门资源——游戏外挂、病毒生成器、网络扫描工具等等,诱导年轻人或不法分子自行“中毒”。
Sakura RAT 的感染链条非常复杂,尤其是在 Visual Studio 环境下表现得尤为狡猾:
-
项目编译时,
PreBuild
脚本自动释放.vbs
文件; -
脚本执行后,触发 PowerShell 下载一个
.7z
压缩包; -
解压后,运行一个基于 Electron 的伪装应用
SearchFilter.exe
; -
程序内藏有巨大的 JavaScript 文件,负责信息窃取、创建计划任务、绕过 Defender 防护,并通过 Telegram 将受害者信息发送给攻击者。
这些信息包括用户名、主机名、网卡地址等敏感数据。此外,Sophos 还发现了其他形式的后门植入方式:
-
使用 Fernet 加密的 Python 脚本,借助空格与换行隐藏关键内容;
-
利用右到左字符隐藏扩展名的
.scr
屏保程序; -
多段式 eval() JavaScript 木马,嵌套混淆代码逃避检测。
更离谱的是,这些 GitHub 仓库还进行了自动化维护,包括 GitHub Actions 自动提交伪造内容、使用重复账号(如 Mastoask、Mastrorz 等)制造“活跃项目”的假象,让人误以为这些代码是高质量、有社区支持的开源资源。
虽然无法确定 ischhfd83
的真实身份,但有迹象显示该人物或与 “Stargazer Goblin” 等早期恶意软件即服务(DaaS)项目有关联。恶意脚本中嵌入的 Telegram 控制端账号指向一个 ID 为“unknownx”的身份。团队还追踪到一个名为 arturshi.ru
的可疑域名,曾经用于虚假“网红培训课程”,现已转向金融诈骗页面。
Sophos 最后总结道:“我们怀疑这个事件背后还有更大的故事,目前仍在持续追踪。”
无论你是网络安全研究员、程序员,还是一时心动的“黑客小白”,这次事件都是一个明确的警告:在黑产世界里,弱肉强食早已不是新闻,连黑客也在互相猎杀。
在这个连“恶意工具”都可能是钓鱼陷阱的时代,安全意识和警觉性才是真正的护身符。
END
原文始发于微信公众号(安全圈):【安全圈】黑吃黑!Sakura RAT 事件揭示黑客如何反过来“猎杀”黑客
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论