威胁组织香蕉小队发动大规模投毒，超60个GitHub仓库遭殃

近日，威胁组织香蕉小队（Banana Squad）发动的新一轮软件供应链攻击被曝光，超 60 个 GitHub 代码仓库惨遭毒手。这些仓库中暗藏数百个伪装成合法黑客工具的恶意 Python 文件，暴露出攻击者利用公共开发者生态系统大规模传播恶意软件的新动向。

逆向实验室（ReversingLabs）首席恶意软件研究员罗伯特・西蒙斯指出，虽然上传到 npm 和 PyPI 等开源仓库的恶意软件数量有所下降，但在 GitHub 这类平台上，威胁行为者的攻击手段正变得愈发隐蔽和复杂。香蕉小队自 2023 年被 Checkmarx 曝光后，一直持续在开源领域制造威胁，此次他们将恶意的 GitHub 仓库伪装成热门搜索的 Python 黑客工具，目标直指 Windows 主机，企图窃取系统、浏览器数据以及加密货币信息。

在此次攻击中，域名 dieserbenni [.] ru 与多个恶意仓库关联紧密。逆向实验室的分析显示，攻击涉及 67 个虚假 GitHub 仓库，攻击者运用动态生成后门有效载荷、采用 Base64、十六进制及 Fernet 加密混淆 Python 脚本等手段，并且部分恶意基础设施与香蕉小队此前的攻击活动存在关联。值得警惕的是，攻击者利用 GitHub 界面代码不换行的特性，将恶意代码隐藏在屏幕可视范围外，即便使用 4K 显示器，若不切换为十六进制视图或借助 Spectra Analyze 等取证工具，也难以察觉。以 degenerationred 仓库中的 file-extension-spoofer.py 文件为例，表面看似正常，经逆向实验室工具深入检测，才发现其中嵌入恶意载荷。

逆向实验室通过威胁情报日志中的恶意 URL 溯源，结合 Spectra Assure 工具对比仓库的干净版本与受感染版本，识别出攻击线索，如名称怪异的单仓库 GitHub 账户、仓库描述中包含火焰和火箭表情符号、README 文件及代码中嵌入动态生成字符串等。这些恶意 Python 文件经多层加密混淆后，会连接到 dieserbenni [.] ru 和 1312services [.] ru 等域名获取最终攻击载荷，包含系统侦察工具、数据窃取程序和键盘记录器等。

目前，GitHub 已应报告下架全部 67 个恶意仓库，但克隆或分叉副本数量不明，意味着大量开发者可能已在不知情的情况下将受感染代码引入项目。