黑吃黑！Sakura RAT 事件揭示黑客如何反过来猎杀黑客

最近，Sophos X-Ops 团队曝光了一起极为特殊的恶意软件事件：这次中招的不是企业、政府、普通网民，而是——其他黑客和游戏作弊者。

故事的主角是一款名为 Sakura RAT 的开源远程访问木马（RAT）。表面上看，这是一个托管在 GitHub 上、供脚本小子和菜鸟黑客学习用的“工具项目”。但研究人员深入分析后发现，这其实是一个精心布下的“套娃陷阱”，从代码构建的那一刻起，开发者本人就已经掉入了圈套。

一名 Sophos 客户在例行安全审查时询问：“Sakura RAT 我们防得住吗？”于是 Sophos 团队开始审查这款工具的源代码，结果发现这个木马本身几乎无法正常运行，大量代码被偷拼凑自其他知名恶意软件（如 AsyncRAT），项目本身残缺不全、漏洞百出。

但这只是迷局的一角。研究人员注意到在 Visual Basic 项目的 .vbproj 文件中隐藏了一段 <PreBuild> 事件代码，这段代码会在用户点击“编译”按钮时自动下载并执行恶意脚本，也就是说——真正的受害者不是被攻击的目标，而是那些试图使用 Sakura RAT 的人。这些人往往是技术不成熟、幻想“一键控制全网”的业余攻击者，而他们正中了圈套。

追踪恶意代码来源时，研究人员在 GitHub 的配置文件中发现一个邮箱地址：ischhfd83[at]rambler.ru，并由此找到了至少 141 个恶意代码仓库，其中 133 个嵌入了后门，大量使用 <PreBuild> 技巧。这些仓库伪装成各类热门资源——游戏外挂、病毒生成器、网络扫描工具等等，诱导年轻人或不法分子自行“中毒”。

Sakura RAT 的感染链条非常复杂，尤其是在 Visual Studio 环境下表现得尤为狡猾：

• 项目编译时，PreBuild 脚本自动释放 .vbs 文件；

• 脚本执行后，触发 PowerShell 下载一个 .7z 压缩包；

• 解压后，运行一个基于 Electron 的伪装应用 SearchFilter.exe；

• 程序内藏有巨大的 JavaScript 文件，负责信息窃取、创建计划任务、绕过 Defender 防护，并通过 Telegram 将受害者信息发送给攻击者。

这些信息包括用户名、主机名、网卡地址等敏感数据。此外，Sophos 还发现了其他形式的后门植入方式：

• 使用 Fernet 加密的 Python 脚本，借助空格与换行隐藏关键内容；

• 利用右到左字符隐藏扩展名的 .scr 屏保程序；

• 多段式 eval() JavaScript 木马，嵌套混淆代码逃避检测。

更离谱的是，这些 GitHub 仓库还进行了自动化维护，包括 GitHub Actions 自动提交伪造内容、使用重复账号（如 Mastoask、Mastrorz 等）制造“活跃项目”的假象，让人误以为这些代码是高质量、有社区支持的开源资源。

虽然无法确定 ischhfd83 的真实身份，但有迹象显示该人物或与 “Stargazer Goblin” 等早期恶意软件即服务（DaaS）项目有关联。恶意脚本中嵌入的 Telegram 控制端账号指向一个 ID 为“unknownx”的身份。团队还追踪到一个名为 arturshi.ru 的可疑域名，曾经用于虚假“网红培训课程”，现已转向金融诈骗页面。

Sophos 最后总结道：“我们怀疑这个事件背后还有更大的故事，目前仍在持续追踪。”

无论你是网络安全研究员、程序员，还是一时心动的“黑客小白”，这次事件都是一个明确的警告：在黑产世界里，弱肉强食早已不是新闻，连黑客也在互相猎杀。

在这个连“恶意工具”都可能是钓鱼陷阱的时代，安全意识和警觉性才是真正的护身符。