HackerNews 编译,转载请注明出处:
网络安全公司Cyfirma发现,黑客正公然利用GitHub平台以“免费VPN”为幌子传播Lumma信息窃取木马。该恶意项目伪装成“Free VPN for PC”仓库,实际安装包会触发多阶段攻击链:首先释放伪装成VPN组件的.NET加载器,随后通过内存注入技术部署最终载荷。
该攻击采用双重诱饵策略:同一攻击者在GitHub同步上传名为“Minecraft Skin”的恶意仓库,瞄准青少年游戏群体;利用GitHub可信平台属性规避安全检测,受害者在搜索正版软件时易误入陷阱。技术层面采用多层混淆手段:初始载荷含Base64编码的PowerShell脚本,核心模块通过内存驻留规避磁盘扫描;注入合法进程(如explorer.exe)实现隐蔽运行,窃取流程包含浏览器凭证、加密货币钱包及文档文件。
Lumma窃密软件在地下市场以“恶意软件即服务”模式流通,月租费140-160美元,支持定制化攻击配置。近期活跃传播渠道除GitHub外,还包括:YouTube盗版教程视频诱导下载带毒安装包、虚假验证码页面诱骗用户执行系统命令、Discord游戏社区通过恶意机器人传播。
2025年5月,微软联合欧盟、日本执法机构开展专项打击行动:查封2,300个C2控制域名,瓦解暗网赃数据交易市场;39.4万台受感染Windows设备被重定向至安全服务器消毒;溯源发现俄罗斯开发者“Shamel”为核心运营者,其Telegram频道拥有超千名订阅者。
防护措施建议:
- 谨慎处理开源平台下载内容,优先验证仓库作者信誉及代码签名;启用内存防护功能(如Microsoft Defender PPL),阻断非授权代码注入;对敏感账户实施硬件级双因素认证,降低凭证泄露风险;定期检查系统进程与网络连接状态,警惕异常行为。
消息来源: cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
