打开网易新闻 查看精彩图片

2025年初至今,超过2600名卡巴斯基用户撞上了同一个陷阱。他们在Google搜"Proxifier下载",点进看起来最正规的GitHub仓库,下载的却是能"复印"剪贴板的窃币木马。

这不是钓鱼邮件,不是恶意广告,是你主动搜索、主动点击、主动安装的"正规软件"。

Proxifier是个老牌代理工具,程序员和跨境办公的人用得很多。攻击者摸准了这点:想白嫖的人不会上官网付39美元,而是会搜"Proxifier 破解版""Proxifier 免费下载"。

卡巴斯基分析师Oleg Kupreev在2026年4月的报告中披露,这个名为ClipBanker的 campaign 从2025年1月就开始运转。受害者集中在印度和越南——两个加密货币渗透率不低、但安全软件普及率参差不齐的市场。

仓库长得太像真的了

仓库长得太像真的了

恶意仓库的页面设计堪称用心。 Releases 栏目里躺着压缩包,附带一份txt文档,里面密密麻麻列着"激活密钥"。源码区还挂着一段基础代理服务的代码,给技术型用户营造"这项目有人维护"的错觉。

压缩包里的可执行文件名字正常、图标正常、数字签名……没有。但多少人会右键查签名?大多数人双击,看到Proxifier的安装界面弹出来,就以为万事大吉。

真正的Proxifier确实在装,只是背后有个1.5KB的stub文件已经溜进系统临时文件夹。

这个stub文件名模仿Proxifier的合法进程,接着注入一个叫api_updater.exe的.NET程序。它的任务很专一:给Microsoft Defender加白名单——TMP文件和当前目录放行,后面的操作就不会弹窗报警。

用户盯着安装进度条的时候,木马已经开始第二阶段部署。

剪贴板成了提款机

ClipBanker的核心机制叫"剪贴板劫持"。听起来很技术,实现很粗暴:你复制了一个比特币地址准备转账,木马在后台秒换成攻击者的地址;你粘贴、确认、发送,币进了别人钱包。

整个过程没有弹窗、没有卡顿、没有"您的电脑已被感染"的惊悚提示。唯一异常是转账后对方说"没收到"——但那时候你已经联系不上真正的收款方了。

卡巴斯基统计,这个变种覆盖了26条区块链网络。比特币、以太坊、Solana、Monero、Dogecoin、TRON、Ripple、Litecoin……基本上你听过的币种它都认识。攻击者不挑食,什么链上的资金都收。

这种"广撒网"策略和早期只盯比特币的剪贴板木马不同。多链钱包普及后,用户资产分散在各条链上,木马也得跟着升级"收款地址库"。

搜索引擎成了帮凶

搜索引擎成了帮凶

攻击者最狠的一招是SEO操控。他们主动推高恶意仓库在Google的排名,让假链接混进前几位结果。

这不是什么高深技术,批量刷star、伪造issue互动、外链农场引流——GitHub的搜索权重算法被吃得透透的。一个2025年新建的仓库,能在"Proxifier"这个关键词下挤掉十年老项目。

卡巴斯基发现这个 campaign 时,它至少已经平稳运行了一年。2600个检测到威胁的用户,意味着实际受害者可能数倍于此——很多人根本没装安全软件,或者装了也没当回事。

印度和越南的高占比很有意思。这两个市场的共同点是:加密货币交易活跃,但"从GitHub下载开源/破解软件"是程序员群体的日常操作。攻击者精准切入了"技术自信"和"安全意识"之间的缝隙。

会写代码的人,往往最不信自己会中招。

安装包里的激活密钥txt也是个心理陷阱。它暗示"这是破解版,作者冒风险分享,低调用别声张"。用户拿到"福利"的心态,会主动压下对来源的质疑。

Proxifier本身是个合法工具,开发者Initex Software从2003年就开始做这行。攻击者借它的名头,既蹭了知名度,又利用了"代理软件"这个品类的特殊场景——用代理的人本身就在跨越边界,对"额外操作"的容忍度更高。

卡巴斯基的报告没提攻击者的收益数字,也没追踪到具体的钱包地址。剪贴板木马的隐蔽性在于,链上转账记录看起来和正常交易一模一样,受害者往往要很久才发现,发现后也说不清哪个环节出了问题。

这种"归因困难"让ClipBanker成了加密货币盗窃的主流手段之一。比起钓鱼网站需要伪造UI、私钥木马需要对抗钱包加密,剪贴板劫持简直是轻资产运营:一个地址库、一个替换逻辑、大量SEO投放,就能坐等入账。

GitHub在2025年下半年加强了对新仓库的审核,但存量恶意项目清理缓慢。攻击者的应对策略是"打一枪换一个地方"——仓库被封就新建,SEO排名掉了就再刷,反正代码复用成本趋近于零。

对于普通用户,卡巴斯基的建议是老生常谈:只从官网下载软件,检查数字签名,保持安全软件更新。但Oleg Kupreev在报告里加了一句更实际的观察:「当免费破解版出现在搜索结果第一页时,绝大多数人会点进去。」

这个 campaign 还在运转吗?卡巴斯基的检测数据截止到2026年初,但类似手法的变体从未断过。下一个被借壳的可能是你常用的任何工具——VPN、下载器、视频转换器,名字越技术流,目标用户越"专业",越容易被这种包装骗过。

你最近一次从GitHub下载可执行文件,有没有顺手查过 releases 的发布者是不是官方账号?