上周某个周二下午,GitHub 上超过 3000 个仓库突然涌入大量「讨论帖」。发件人都是新注册或长期休眠的账号,内容却出奇一致:你的 VS Code 扩展有漏洞,点击这个 Google Drive 链接下载补丁。
从第一个帖子出现到最后一个,全程不到 180 秒。被 @ 到的开发者手机开始疯狂震动——邮件通知、App 推送、桌面弹窗,三重轰炸。
这不是漏洞预警,这是精准计算过的恐慌营销。
攻击者赌的就是一个时间差:当你正在开会、赶 deadline、或者刚睡醒迷糊的时候,看到「官方」发来的安全提醒,会不会手比脑子快?Google Drive 的域名是白的,文件名带着版本号和「security_patch」字样,一切看起来都那么合理。
唯一不合理的是:微软什么时候用谷歌网盘分发补丁了?
钓鱼工业化:从广撒网到流水线
这次攻击的精密程度,堪比产品经理做 A/B 测试。攻击者没有随机轰炸,而是专门挑选了依赖邮件通知的开发者群体——那些把 GitHub 通知当工作流的人。
他们算准了三件事:GitHub 的讨论功能对所有人开放、新账号发帖不会触发即时风控、以及邮件标题里的「@你的用户名」会绕过大脑的前额叶审查。
结果呢?有人真的点了。有人在 Slack 群里问「这个补丁靠谱吗」,被同事紧急叫停。还有人直到第二天才看到邮件,后背发凉。
这种「通知疲劳攻击」正在变成标准作业流程。去年类似的案例是伪造的 npm 安全警报,今年换成了 VS Code 扩展。明年可能是 Docker 镜像、PyPI 包、或者你正在用的任何开发者工具。
攻击者的工具链也在升级。批量注册账号、自动化内容生成、甚至根据仓库语言自动切换补丁说明的措辞——Python 项目看到「pip 兼容修复」,Node 项目看到「npm 安全更新」。
开发者信任的基础设施,正在被当成攻击向量来拆解。
登录成功之后,才是真正的考题
另一个被低估的场景:当你看到「登录成功」四个字,故事其实才刚开始。
用户名对,密码对,二次验证也过了。系统记录显示这是一次「正常登录」,IP 地址在合理范围内,设备指纹没有异常。但操作者可能根本不是账号主人,而是一个拿着偷来的凭证、在正确时间出现在正确地点的替身。
2025 年,勒索软件团伙 tracked 了超过 7000 起事件,涉及 129 个活跃组织。这个数字背后是一个完整的地下经济:信息窃取木马(infostealer)批量收割浏览器保存的密码、Cookie、自动填充的信用卡信息,打包成「日志」在暗市批发。
买家拿到这些日志,不会立刻动手。他们会先「养号」——观察目标的使用习惯,记录登录时段,甚至模仿打字节奏。等到一个周五下午,当真正的用户已经关机去喝酒,替身才悄悄上线。
勒索金额从 2024 年的 8.92 亿美元微降到 2025 年的 8.2 亿美元。别急着欢呼,这不是防御变强了,是攻击者变得更挑食了。他们开始放弃「广撒网加密一切」的粗暴模式,转向「精准打击高价值目标+数据勒索双重勒索」的精品路线。
被加密的数据只是筹码,真正值钱的是「如果你不付,我们就把客户名单卖给竞争对手」。
WhatsApp 上的 VBS 文件:社交工程的终极形态
谁会主动双击运行一个 .vbs 文件?
这个问题本身就有问题。攻击者从不问「谁会」,他们只问「怎么让」。最新的案例是通过 WhatsApp 发送恶意 VBS 脚本,文件名伪装成「发票.pdf.vbs」或者「订单确认.jpg.vbs」——Windows 默认隐藏已知扩展名,用户看到的只是「发票.pdf」。
点击之后,脚本会静默连接远程服务器,下载下一阶段载荷。可能是键盘记录器,可能是浏览器密码提取工具,也可能只是先睡个几周,等待指令。
WhatsApp 的端到端加密在这里成了双刃剑。消息内容连 Meta 自己都看不到,安全团队自然也无法扫描恶意附件。攻击者吃准了这一点,把私人聊天频道变成了免安检的走私通道。
更隐蔽的是「熟人背书」效应。当文件来自家族群、同事群、或者某个你记不清什么时候加过的客户,警惕性会天然降低。社交工程的本质不是技术,是心理学:利用关系链中的信任 residue,绕过理性审查。
去年 FBI 的报告显示,商业邮件诈骗(BEC)造成的损失已经超过传统勒索软件。今年的趋势是把 BEC 的套路下沉到个人场景——你的舅舅不会发钓鱼邮件,但他可能会转发一条「紧急税务通知」到家庭群。
数字遗产:一个没人想谈但必须谈的话题
说点更沉重的。
如果你现在突发意外,你的家人能打开你的手机吗?能进你的邮箱吗?能处理你挂在各个交易所的加密货币,或者关掉那些按月扣费的订阅服务吗?
大多数人对这个问题的反应是:「以后再说。」
但「以后」可能不来。苹果、谷歌、微软都有「遗产联系人」功能,允许你指定某人在你去世后访问账号。前提是:你必须活着的时候设置好。死了之后,这些公司的客服只会对着死亡证明摇头,哪怕来申请的是你结婚二十年的配偶。
更麻烦的是加密货币。私钥没有「忘记密码」选项,硬件钱包没有后门。你的家人可能在整理遗物时发现一个 Ledger 设备,但如果没有助记词,那就是一块塑料。反之,如果把助记词存在显眼的地方,活着的时候又面临被盗风险。
这是一个经典的可用性-安全性 trade-off,只是赌注从「账号被盗」变成了「资产永久冻结」。
有人选择把助记词拆成三份,分别交给律师、配偶和信得过的朋友。有人用 Shamir 秘密共享方案,设置「任意两份可还原」的阈值。还有人干脆什么都不做,赌自己不会那么倒霉——这种策略在数学上叫「俄罗斯轮盘」,胜率取决于你的年龄和体检报告。
防御清单:这周你可以做的 4 件事
没有银弹,但有一些降低概率的操作。
第一,把 GitHub 的邮件通知改成「只接收我参与的」。设置路径:Settings → Notifications → Email → 取消勾选「Automatically watch repositories」。这不会阻止所有钓鱼,但至少减少噪音中的信号丢失。
第二,给重要账号开通行密钥(Passkey)而不是短信二步验证。钓鱼可以骗你输入密码,但很难骗过硬件绑定的加密签名。iPhone 用户可以用 Face ID,Android 用户可以用指纹,Windows 用户可以用 Windows Hello。
第三,检查你的「遗产联系人」设置。iCloud 在「设置 → Apple ID → 登录与安全 → 遗产联系人」;Google 在「管理你的 Google 账号 → 数据和隐私 → 更多选项 → 闲置账号管理器」;微软在「账户 → 安全 → 高级安全选项 → 遗产设置」。花 5 分钟,避免未来的 5 个月扯皮。
第四,如果你用 WhatsApp 办公,关掉自动下载。设置 → 存储和数据 → 媒体自动下载 → 全部改为「从不」。收到文件时手动确认发送者身份,多这一步,能过滤掉 90% 的恶意载荷。
最后一条不是技术建议,是产品思维:安全功能的设计者默认用户会主动寻找设置入口,但真实用户的行为路径是「除非被打断,否则继续使用默认」。把安全选项埋在三层菜单之下,等于假设所有人都是安全研究员。
这个假设,和假设没人会点 .vbs 文件一样,都是产品经理的傲慢。
你的 GitHub 通知设置改了吗?还是准备先看完这篇,然后被下一个弹窗打断,永远忘记?
热门跟贴