网络安全研究人员最近发现了一起精心设计的网络间谍活动,攻击者用了一个让人意想不到的组合拳: humanitarian aid(人道主义援助)的温情外衣,加上GitHub这个开发者最信任的代码平台。

这起被命名为"HumanitarianBait"的攻击活动,表面看起来平平无奇,实际技术含量却相当高。Cyble Research and Intelligence Labs的安全分析师追踪了整个攻击链条,发现幕后黑手在"让攻击显得正常"这件事上下了不少功夫。

打开网易新闻 查看精彩图片

攻击的起点是一封钓鱼邮件,附件是一个RAR压缩包。包里藏着一个Windows快捷方式文件(LNK文件),伪装成俄语 humanitarian aid申请表。受害者一旦双击,感染流程就在后台悄然启动,同时屏幕上会弹出一个制作精良的文档来降低警惕性。

但真正让安全人员警觉的,是攻击者对GitHub的巧妙利用。他们没有把恶意代码直接扔进代码仓库——那里是自动化扫描工具的重点监控区域。相反,他们选择了GitHub Releases这个相对冷清的角落。Release附件受到的自动化审查少得多,更新时还不会留下明显的提交记录。

这个GitHub账号的经营策略堪称精细。它同时托管着完全干净的合法文件,包括Python运行环境安装包和标准的pip配置文件。这样一来,所有从该账号流出的下载请求,在网络监控工具眼里都像是正常的开发者行为,完美融入了日常流量。

攻击的核心载荷是一个名为data.zip的文件,研究人员发现它被反复重新发布,哈希值不断变化,说明攻击者在持续更新这轮行动。这个载荷用PyArmor v9.2 Pro进行了保护——这是一款商业混淆工具,能让Python代码抵抗静态分析和反编译。

整个感染链条设计得相当讲究。LNK文件执行后,PowerShell会读取快捷方式文件中特定偏移位置嵌入的混淆内容,直接在内存中运行。这种反沙箱技术意味着,如果运行环境不符合预期,恶意代码根本不会执行。

最终部署的是一个基于Python的植入程序,它不需要在系统上留下传统的可执行文件。安装完成后,它以完整的监控平台形态在后台静默运行,收集浏览器密码、会话Cookie、键盘记录、剪贴板内容、屏幕截图、Telegram会话数据,以及受害者机器上的敏感文件。

关于攻击者的身份归属,目前尚无定论。不过考虑到俄语诱饵和humanitarian aid主题,研究人员强烈推测目标人群是俄语使用者。这种精准的本地化设计,加上对GitHub平台规则的深度理解,显示出这不是业余黑客的随手之作。