Sophos X-Ops 團隊在近期調(diào)查中發(fā)現(xiàn)了一場針對黑客和游戲作弊者的復(fù)雜攻擊活動，其源頭是一個名為 Sakura RAT 的后門遠程訪問木馬。

偽裝的開源項目

事件始于某客戶向 Sophos 咨詢是否能夠防御 GitHub 上托管的開源遠程訪問木馬 Sakura RAT。經(jīng)分析發(fā)現(xiàn)，該木馬代碼存在嚴重缺陷——許多組件殘缺不全或直接抄襲自 AsyncRAT 等其他惡意軟件，即使編譯也無法正常運行。

研究人員在 Visual Basic 項目文件中發(fā)現(xiàn)了一個隱藏的<PreBuild>事件，當(dāng)項目編譯時會秘密下載并安裝惡意軟件。Sophos 指出："Sakura RAT 本身就被植入了后門，其代碼專門針對編譯該木馬的用戶，會植入信息竊取程序和其他遠程控制木馬。"

大規(guī)模后門倉庫

通過 GitHub YAML 文件中發(fā)現(xiàn)的郵箱 ischhfd83[at]rambler.ru，Sophos 追蹤到 141 個相關(guān)代碼倉庫，其中 133 個被植入后門，111 個包含 PreBuild 后門機制。

偽裝成 CVE-2025-12654 漏洞利用工具的惡意倉庫 | 圖片來源：Sophos X-Ops

這些倉庫偽裝成游戲外掛和黑客工具，利用腳本小子和業(yè)余黑客的好奇心與貪欲進行傳播。部分媒體在不知情的情況下報道了這些倉庫，進一步擴大了攻擊面。

復(fù)雜的感染鏈

僅 Visual Studio 版本的攻擊鏈就包含四個階段：

• PreBuild 腳本靜默釋放 .vbs 文件
• 該腳本寫入并執(zhí)行 PowerShell 載荷
• 載荷下載包含 Electron 惡意程序 SearchFilter.exe 的 7z 壓縮包
• 高度混淆的 JavaScript 文件實施數(shù)據(jù)竊取、計劃任務(wù)、防御規(guī)避并通過 Telegram 與攻擊者通信

惡意軟件會收集用戶名、主機名、網(wǎng)絡(luò)接口等信息，通過 Telegram 發(fā)送給攻擊者。

多樣化的后門技術(shù)

除 PreBuild 后門外，研究人員還發(fā)現(xiàn)三種變體：

• 使用 Fernet 加密并通過空格隱藏的 Python 后門
• 利用從右至左文本覆蓋技術(shù)偽裝的屏保程序(.scr)
• 采用 eval() 和多階段混淆載荷的 JavaScript 后門

每種變體都采用獨特的混淆技術(shù)和規(guī)避手段以提高感染成功率。

自動化攻擊特征

攻擊者通過 GitHub Actions 實現(xiàn)自動提交，使用循環(huán)賬號（如 Mastoask、Maskts 和 Mastrorz）偽造貢獻記錄，并通過 YAML 腳本模擬活躍開發(fā)狀態(tài)。Sophos 分析認為："攻擊者可能想制造倉庫定期維護的假象，以吸引更多潛在受害者。"

攻擊者身份推測

雖然 ischhfd83 的真實身份仍是個謎，但調(diào)查發(fā)現(xiàn)其與 Stargazer Goblin 等惡意軟件分發(fā)即服務(wù)(DaaS)網(wǎng)絡(luò)存在關(guān)聯(lián)。惡意軟件中嵌入的 Telegram 機器人指向 likely alias "unknownx"，團隊還發(fā)現(xiàn)可疑域名 arturshi.ru——該域名曾托管虛假網(wǎng)紅課程，現(xiàn)重定向至金融詐騙網(wǎng)站。

Sophos 在報告中警告："我們懷疑事件背后可能還有更多隱情，將持續(xù)監(jiān)控后續(xù)發(fā)展。"