当黑产开发者以为在共享“行业秘笈”时，殊不知已经掉入了黑客布置的陷阱——看似方便的后门远程控制源码和游戏作弊外挂源码等“圈内资源”，实则是植入了恶意代码的投毒诱饵。黑客抓住相关开发者对开源代码的信任，用“魔法”（伪造的开源项目）打败“魔法”（黑灰产项目），上演了一场黑产生态中的荒诞戏码。

近日，火绒安全实验室发现一款针对游戏黑灰产的GitHub投毒木马病毒再度广泛传播。攻击者主要通过伪造包括后门远程控制源码和游戏作弊外挂源码等进行投毒，利用相关开发者对开源代码的信任，将恶意代码植入看似正常的项目中，诱导用户下载和执行。此类病毒能够窃取用户敏感信息、远程控制受感染设备。

该样本的后门解压密码（hR3^&b2%A9!gK*6LqP7t$NpW）与今年1月发布的《GitHub开源项目被投毒，后门病毒跟随开发流程传播蔓延》完全一致，具体细节可参考往期报告。

目前，火绒安全产品已实现对该类样本的精准识别，能够有效阻断其加载过程，为用户系统提供可靠的安全保障。为了进一步增强系统防护能力，火绒安全建议广大用户及时更新病毒库，确保系统能够抵御最新威胁，防范潜在安全风险。

查杀图

投毒项目

后门主程序界面

此病毒利用多种编程语言（包括JavaScript、VBS、PowerShell、C#、C++）构建复杂的进程链，最终实现恶意后门木马功能，具有高度隐蔽性和危害性。其具备以下行为特征：

伪装成正常项目，具有强隐蔽性：此类病毒通常会伪装成后门（命令与控制）框架、游戏外挂、破解工具、爬虫脚本等热门开源项目，利用开发者对特定工具的需求诱导下载。恶意代码可能嵌入具有正常功能的代码中，使得异常难以被发现。

实现持久化感染与长期潜伏：病毒运行后，会修改系统注册表、添加自启动项或植入守护进程，确保在设备重启后仍能维持控制。

进行数据窃取与监控：记录用户输入的账号、密码、支付信息等敏感数据；定期截取用户桌面，窃取隐私内容；盗取复制的加密货币地址、验证码等信息。

进行远程控制与横向渗透：样本会连接攻击者的C2服务器，接受指令执行恶意操作。如下载更多恶意模块（勒索软件、挖矿木马等）、窃取浏览器Cookies和历史记录、劫持社交账号等。

此次样本利用Visual Studio的PreBuildEvent机制执行恶意命令，生成VBS脚本以下载7z解压工具和恶意压缩包SearchFilter.7z。解压后，样本加载一个基于Electron框架的程序，该程序具备反调试和虚拟机检测功能，能够规避安全分析环境。随后，程序从GitHub下载并解压第二个恶意压缩包BitDefender.7z，进一步释放多个恶意模块，包括后门工具（如AsyncRAT、Quasar、Remcos）、剪贴板劫持组件以及Lumma Stealer窃密木马。

Visual Studio 执行利用

目前，Github已下架部分恶意仓库，但攻击者可能更换身份继续活动，用户仍需保持警惕。