Discord邀请链接被劫持：AsyncRAT与Skuld木马悄然窃取加密资产

近期，一个新型恶意软件活动正通过滥用 Discord 平台的邀请链接系统，悄然传播 AsyncRAT 木马和信息窃取工具 Skuld Stealer，目标直指用户的加密货币钱包。Check Point 的技术报告指出，攻击者通过注册个性化链接（vanity link）劫持原本可信的 Discord 邀请链接，使用户在毫不知情的情况下跳转到恶意服务器，从而启动一系列社工攻击。

Discord 的邀请机制存在一个漏洞，即被删除或过期的自定义链接在某些情况下可以被再次注册和使用。这意味着曾在博客、社群或社交平台广泛传播的可信链接可能在用户点击时已悄然变为恶意入口。攻击者利用这一漏洞搭配 ClickFix 钓鱼技巧、多阶段加载器以及时间延迟躲避技术，使攻击路径具有高度隐蔽性。

整个攻击流程从用户点击已被劫持的链接开始，一旦进入伪装成真实社区的 Discord 服务器，用户会被要求执行“身份验证”操作。所谓验证，实则是一段 PowerShell 命令被自动复制至剪贴板，用户再被引导粘贴该命令至系统运行窗口中，触发远程恶意脚本的下载与执行。该脚本首先加载一个下载器，然后依次投递 AsyncRAT 和 Skuld Stealer。

这场攻击展示了攻击者对多阶段感染流程的高度操控能力。AsyncRAT 拥有对受害机器的完全远程控制能力，其通信服务器地址通过 Pastebin 上的“死投递点”（Dead Drop Resolver）动态获取，躲避安全检测。而 Skuld Stealer 是用 Golang 编写的信息窃取器，可从 Discord、主流浏览器、游戏平台乃至加密钱包中提取敏感数据，包括 Exodus 和 Atomic 钱包中的助记词和密码。其实现方式为“钱包注入”，即下载恶意版本替换合法文件，使恶意功能在原应用启动时隐匿执行。

攻击者还使用经过改造的 ChromeKatz 工具绕过 Chrome 浏览器的加密保护，所收集的数据则通过 Discord webhook 渠道回传，使得数据窃取流程进一步伪装成常规流量。在攻击过程中，攻击者广泛利用 GitHub、Bitbucket、Pastebin 等可信平台托管和传输恶意载荷，使其更难被传统防御手段发现。

Check Point 指出，该攻击链还通过伪装成破解工具的恶意程序在 Bitbucket 平台传播，已有超过 350 次下载记录。受害者主要分布在美国、越南、法国、德国、斯洛伐克、奥地利、荷兰和英国等国家。

这场攻击再次表明 Discord 正逐渐成为攻击者偏爱的目标平台，不仅其 CDN 曾被用来托管恶意软件，如今其邀请系统漏洞也成为攻击入口。攻击者通过精准操控 Discord 的链接机制和用户行为，引导用户自行执行攻击命令，再配合多阶段远程载荷投递，完成对加密资产的窃取。

研究人员总结称，这一攻击的本质在于：看似微小的 Discord 邀请机制特性在未被修补的前提下，可能演变为严重的安全隐患。通过劫持被信任的邀请链接，攻击者不仅能够绕过用户的警惕心理，更能借助平台信誉对目标用户实施高效诱导。攻击载荷的选型表明，攻击者以加密货币用户为主要目标，其动机显然是经济利益驱动。