网络安全公司 ReversingLabs 披露了一场代号为 "香蕉小队"（Banana Squad）的攻击活动。黑客在 GitHub 上创建了67 个伪装仓库 ，表面宣称提供 Python 黑客工具、游戏作弊器（如《堡垒之夜》外挂、Discord 账号清理工具），实则植入木马程序。这些恶意代码会窃取 Windows 系统敏感信息，并将数据传输至黑客控制的服务器（如 dieserbenni [.] ru）。

值得警惕的是，这并非黑客首次利用开源生态作恶。早在 2023 年，同一团伙就曾通过 PyPI（Python 官方包管理器）发布 75000 次下载的恶意软件，而此次攻击则是其从包管理平台向代码托管平台的升级。攻击者甚至会复制合法仓库名称，利用 GitHub 搜索算法将恶意项目推至前列，诱使用户下载。

如今，GitHub 正成为黑客眼中的 "理想战场"。近期曝光的多起攻击事件显示：

"水诅咒"（Water Curse）团伙

运营 76 个恶意仓库，通过多阶段恶意软件窃取浏览器数据、会话令牌，并实现对受害者电脑的长期控制；

"星舰幽灵网络"（Stargazers Ghost Network）

针对《我的世界》玩家，利用 Java 恶意软件感染系统。该团伙通过伪造 "星标"、频繁更新仓库等手段，让恶意项目在搜索结果中排名靠前；

"樱花 RAT" 攻击

Sophos 发现 133 个后门仓库，攻击者将恶意代码隐藏在 Visual Studio 预编译事件、Python 脚本中，甚至利用屏保文件和 JavaScript 窃取数据，关联的攻击活动可追溯至 2022 年 8 月。

这些攻击的共同点在于：利用用户对开源平台的信任，将恶意代码伪装成热门工具，并通过 Discord、YouTube 等社交平台扩大传播范围。

面对愈演愈烈的开源供应链攻击，网络安全专家提出三点建议：

下载前 "三重验证"

核对仓库 URL 是否与官方一致（警惕拼写错误，如将 "github.com"改为"g1thub.com"）；

检查项目提交记录和贡献者身份，避免使用无人维护或突然更新的仓库；

使用安全工具扫描代码包（如 Sonatype Nexus、OWASP Dependency-Check）。

2. 警惕 "免费午餐" 陷阱游戏作弊工具、加密货币薅羊毛脚本等 "灰色工具" 是重灾区。黑客深知用户对这类工具的需求，会针对性地植入窃密程序，甚至反向感染试图使用恶意工具的黑产人员（如近期曝光的 "攻击者攻击攻击者" 案例）。

3. 建立最小权限原则开发者应限制第三方代码的执行权限，避免为开源组件开启过高系统访问权限。普通用户则需注意：不要在运行可疑程序时登录银行、加密货币钱包等敏感账户。

"开源软件的安全性不应仅依赖平台审核，更需要用户养成安全习惯。"Sophos 首席安全官 Chet Wisniewski 指出，当前多起攻击存在技术重叠（如均使用 Electron 框架、滥用 Visual Studio 预编译功能），暗示背后可能存在代码共享或团伙协作。随着 AI 工具的普及，未来黑客甚至可能利用自动化手段批量生成伪装仓库，进一步提升攻击效率。

从 PyPI 到 GitHub，黑客的攻击版图在不断扩张，但核心逻辑始终是利用人性的 "便利心理"。对于企业而言，建立开源组件供应链监控体系尤为重要。通过实时追踪开源项目的安全性、检测依赖项中的已知漏洞，可有效降低被 "供应链攻击" 波及的风险。而普通用户则需记住：在开源世界，"免费" 的代价可能是你的隐私与数据安全。