1 概述

近年來，利用開源生態(tài)的信任在 GitHub 偽裝開源項(xiàng)目進(jìn)行惡意代碼 " 投毒 " 的攻擊活動(dòng)持續(xù)存在。自 2024 年底以來，安天 CERT 持續(xù)監(jiān)測到通過此方式投遞使用 Electron 打包的遠(yuǎn)控木馬的攻擊活動(dòng)。攻擊者通過偽裝漏洞利用工具、游戲外掛等，針對下載開源項(xiàng)目進(jìn)行編譯、開發(fā)和使用的用戶群體，將惡意代碼植入開源代碼的 Visual Studio 項(xiàng)目編譯配置中，使項(xiàng)目在編譯時(shí)先執(zhí)行隱蔽命令，并利用多層不同語言和編譯工具鏈開發(fā)的載荷實(shí)現(xiàn)混淆加載，規(guī)避安全檢測，最終執(zhí)行使用 Electron 打包的遠(yuǎn)控木馬。相關(guān)攻擊活動(dòng)仍在活躍，樣本中載荷下載 URL 等基礎(chǔ)設(shè)施仍可訪問。

目前相關(guān)樣本在各類殺毒引擎中檢出率較低，安天 AVL SDK 反病毒引擎通過全格式精準(zhǔn)識(shí)別和深度預(yù)處理，支持對使用 Electron 打包的等格式的應(yīng)用程序分發(fā)包裹文件進(jìn)行細(xì)粒度拆解，對內(nèi)嵌的惡意腳本等子文件進(jìn)行精準(zhǔn)檢測。安天智甲終端防御系統(tǒng)可實(shí)現(xiàn)對該遠(yuǎn)控木馬的有效查殺。

ASAR 文件是一種常用于 Electron 應(yīng)用程序的專有格式。其全稱為 "Atom Shell Archive"，是一種檔案文件格式，類似于 ZIP 或 TAR，能夠?qū)⒍鄠€(gè)文件打包整合為一個(gè)文件。它把應(yīng)用所需的眾多文件，如 JavaScript 文件、HTML 文件、CSS 文件、圖片、字體等資源，按照特定的結(jié)構(gòu)和算法打包成一個(gè)文件。

該格式文件相關(guān)信息詳見安天病毒百科。

圖 1-1 長按識(shí)別二維碼查看 ASAR 文件詳細(xì)信息

2 攻擊活動(dòng)分析

攻擊者創(chuàng)建漏洞利用工具、游戲外掛等內(nèi)容的開源項(xiàng)目，在其 Visual Studio 項(xiàng)目配置中嵌入惡意編譯配置代碼，并上傳至 GitHub 開源平臺(tái)，利用開源用戶對開源資源的信任誘導(dǎo)下載。

圖 2 1 在開源平臺(tái)的部分投毒項(xiàng)目

偽裝的項(xiàng)目利用 GitHub Action 功能自動(dòng)向項(xiàng)目倉庫中反復(fù)提交當(dāng)前日期，使得項(xiàng)目最后更新日期始終較新，增加受害者下載編譯項(xiàng)目的幾率。其提交代碼使用了硬編碼的郵箱地址 ischhfd83@rambler.ru。

圖 2 2 自動(dòng)提交項(xiàng)目代碼

惡意代碼通過 Visual Studio 項(xiàng)目的 PreBuildEvent 機(jī)制觸發(fā)，該設(shè)置項(xiàng)用于指定項(xiàng)目編譯前執(zhí)行的命令行代碼，存儲(chǔ)在項(xiàng)目文件中（.*proj 文件，如 .vcproj、.vbproj 等），可通過項(xiàng)目屬性窗口查看，無法通過檢查項(xiàng)目源代碼發(fā)現(xiàn)。當(dāng)編譯項(xiàng)目代碼時(shí)惡意代碼便會(huì)觸發(fā)執(zhí)行。

圖 2 3 通過項(xiàng)目屬性查看惡意代碼

圖 2 4 通過項(xiàng)目文件查看惡意代碼

該代碼利用 Bat、PowerShell 腳本和 Base64、AES 等算法，嵌套執(zhí)行多層后續(xù)載荷，嘗試從 pastebin、rlim 等多個(gè)公開網(wǎng)站中獲取下載地址，從該地址下載一個(gè)包含多個(gè)文件的加密壓縮包并解壓（壓縮包中的文件為 Electron 打包的一組 Node.JS 程序），然后執(zhí)行解壓出的主程序 SearchFilter.exe。使用 Electron 打包的程序?qū)嶋H執(zhí)行的是 JavaScript 代碼，代碼進(jìn)行了高度扁平化混淆，實(shí)現(xiàn)了通過 Telegram API 回傳系統(tǒng)信息、反虛擬機(jī)、關(guān)閉 Windows Defender 反病毒軟件、屏幕截圖、計(jì)劃任務(wù)持久化、下載后續(xù)載荷等遠(yuǎn)控功能。

圖 2 5 多層載荷

圖 2 6 下載執(zhí)行的 Electron 打包程序

工程文件在各殺毒引擎中檢出率較低，目前僅安天檢出。

圖 2 7 樣本檢出情況

進(jìn)一步關(guān)聯(lián)攻擊手法、提交代碼郵箱地址（ischhfd83@rambler.ru）等信息，發(fā)現(xiàn)了更多嵌入了惡意代碼的惡意開源項(xiàng)目，項(xiàng)目創(chuàng)建時(shí)間幾天內(nèi)到幾個(gè)月內(nèi)不等，說明攻擊仍在持續(xù)進(jìn)行中，具體列表如下所示。請注意避免下載以下包含惡意代碼的開源項(xiàng)目文件。

表 2 1 植入惡意代碼的 GitHub 項(xiàng)目

3 終端安全防護(hù)

目前，該攻擊活動(dòng)利用 Visual Studio 開源項(xiàng)目打包和分發(fā)內(nèi)嵌惡意木馬繞過反病毒引擎的檢測，安天 AVL SDK 反病毒引擎通過全格式精準(zhǔn)識(shí)別和深度預(yù)處理，支持對 asar 等應(yīng)用程序分發(fā)包裹文件進(jìn)行細(xì)粒度拆解，對內(nèi)嵌的惡意腳本等子文件進(jìn)行精準(zhǔn)檢測。

建議企業(yè)用戶部署專業(yè)的終端安全 防護(hù)產(chǎn)品，對本地新增和啟動(dòng)文件進(jìn)行實(shí)時(shí)檢測，并周期性進(jìn)行網(wǎng)內(nèi)病毒掃描。安天智甲終端安全系列產(chǎn)品（以下簡稱 " 智甲 "）依托安天自研威脅檢測引擎和內(nèi)核級主動(dòng)防御能力，可以有效查殺本次發(fā)現(xiàn)病毒樣本。

智甲可對本地磁盤進(jìn)行實(shí)時(shí)監(jiān)測，對新增文件自動(dòng)化進(jìn)行病毒檢測，對發(fā)現(xiàn)病毒可在其落地時(shí)第一時(shí)間發(fā)送告警并進(jìn)行處置，避免惡意代碼啟動(dòng)。

圖 3 1 發(fā)現(xiàn)病毒時(shí)，智甲第一時(shí)間捕獲并發(fā)送告警

智甲還為用戶提供統(tǒng)一管理平臺(tái)，管理員可通過平臺(tái)集中查看網(wǎng)內(nèi)威脅事件詳情，并批量進(jìn)行處置，提高終端安全運(yùn)維效率。

圖 3 2 通過智甲管理中心查看并完成威脅事件處置

4 樣本對應(yīng)的 ATT&CK 映射圖譜

圖 4 1 技術(shù)特點(diǎn)對應(yīng) ATT&CK 的映射

ATT&CK 技術(shù)行為描述表如下。

表 4 1 ATT&CK 技術(shù)行為描述表

5 安天瀾砥威脅檢測分析垂直大模型分析與評估

安天瀾砥威脅檢測分析垂直大模型對 app.asar 包樣本進(jìn)行自動(dòng)化分析，解析內(nèi)容如下：

根據(jù)提供的日志和分析結(jié)果，可以得出以下結(jié)論：

判定結(jié)論

初步判定結(jié)論為 Trojan.Win32.Bandos 木馬，被識(shí)別為惡意軟件。以下是詳細(xì)的判定和評估：

準(zhǔn)確度評估

評估日志中的結(jié)果準(zhǔn)確度約為 85%。原因如下：多個(gè)特征段看起來是無意義的字符數(shù)據(jù)，但結(jié)合上下文可能暗示混淆或加密技術(shù)的使用。結(jié)果中包含危險(xiǎn)調(diào)用和惡意行為的跡象。

判定依據(jù)

1. 危險(xiǎn)調(diào)用和可疑行為：

o 日志中包含多次內(nèi)存操作和函數(shù)調(diào)用，包括處理二進(jìn)制數(shù)據(jù)的跡象，這可能用于惡意行為，例如內(nèi)存注入 ( 0x48 0xFF 0xC3 ) 。

o 出現(xiàn)了 "Anti-Virus" 相關(guān)的信息，可能與檢測或規(guī)避安全機(jī)制的功能有關(guān)。

o "ENAMETOOLONG"、"IDECODERERROR" 等錯(cuò)誤或狀態(tài)信息暗示可能在試圖訪問或操作文件系統(tǒng)時(shí)擾亂正常操作。

2. 特征段分析：

o 多處出現(xiàn) ";;;;;AAAA,O" 和其他無實(shí)際意義的字符序列，可能表明填充或混淆技術(shù)。

o 編碼中的 ?? 表示數(shù)據(jù)未被選為特征，通常在特征很可能是加密或隨機(jī)的數(shù)據(jù)時(shí)出現(xiàn)。

o 段中包含的指令集和全局變量 ( 例如 V ( 60 ) +e [ 3 ] [ 0 ] +"y" ) ，表明可能有動(dòng)態(tài)構(gòu)造和運(yùn)行時(shí)代碼生成的行為，屬于木馬常用的方法。

3. 整體邏輯和行為：

o 日志結(jié)尾指出多個(gè)緩沖處理和指針操作，這是許多木馬用來修改進(jìn)程內(nèi)存或加載惡意代碼的常見手段。

o 某些段落（例如 AVIsolate@2@XZ）中 JavaScript 和 C++ 的代碼段或注釋融合，這種不一致可能表面軟件試圖混淆來源或用途。

其他判定依據(jù)

無效的字符集和符號(hào)：特征中多處見到亂碼字符，表明有編碼變換或混淆。

響應(yīng)時(shí)間和分析速度：正常檢測需要相當(dāng)算力，表明復(fù)雜度高，可能為通過多次迭代改進(jìn)的惡意軟件。

額外說明

由于部分?jǐn)?shù)據(jù)未被選為特征，最終結(jié)論依賴對所見數(shù)據(jù)的解釋和分析，因此可能存在略微偏差。在沒有更深入的文件分析（例如逆向工程）的情況下，此結(jié)果為初步判定。

總體建議

建議進(jìn)行更詳細(xì)的靜態(tài)和動(dòng)態(tài)分析。若確認(rèn)為惡意，應(yīng)立即隔離發(fā)現(xiàn)的文件，并執(zhí)行全面系統(tǒng)掃描以確認(rèn)系統(tǒng)完整性和安全性。

按照國標(biāo)草案給出威脅分類為 Trojan.Win32.Bandos，自動(dòng)提取特征生成的 YARA 規(guī)則如下：

rule Trojan.Win32.Bandos:Trojan { meta: description = " 這是一段由 VILLM V2 模型生成的 YARA 規(guī)則。用于檢測 Trojan.Win32.Bandos" strings: $a = { 24 64 65 66 65 6e 64 65 72 45 78 63 6c 75 73 69 6f 6e 73 2e 45 78 63 6c 75 73 69 6f 6e 50 72 6f 63 65 73 73 } $b = { 50 72 6f 67 72 61 6d 73 5c 5c 43 6f 6d 6d 6f 6e 5c 5c 4f 6e 65 44 72 69 76 65 43 6c 6f 75 64 5c 5c 6d 62 61 6d 2e 70 73 31 } $c = { 68 74 74 70 73 3a 2f 2f 61 70 69 2e 74 65 6c 65 67 72 61 6d 2e 6f 72 67 2f 62 6f 74 22 2e 63 6f 6e 63 61 74 28 } condition: all of them }

安天瀾砥威脅檢測分析垂直大模型是國內(nèi)首個(gè)通過國家網(wǎng)信辦備案的威脅檢測生成式模型。模型基于安天賽博超腦 20 余年積累的海量樣本特征工程數(shù)據(jù)訓(xùn)練而成，訓(xùn)練數(shù)據(jù)包括文件識(shí)別信息、判定信息、屬性信息、結(jié)構(gòu)信息、行為信息、主機(jī)環(huán)境信息、數(shù)據(jù)信息等，支持對不同場景下向量特征進(jìn)行威脅判定和輸出詳實(shí)的知識(shí)理解，形成應(yīng)用不同需求和場景的多形態(tài)的檢測方式，提升后臺(tái)隱蔽威脅判定能力，進(jìn)一步為安全運(yùn)營賦能。

圖 5 1 安天瀾砥威脅檢測分析垂直大模型樣本分析結(jié)果

6 IoCs

URL

https://rlim [ . ] com/seraswodinsx/raw

https://popcorn-soft.glitch [ . ] me/popcornsoft.me

https://pastebin [ . ] com/raw/LC0H4rhJ

https://pastejustit [ . ] com/raw/tfauzcl5xj

https://github [ . ] com/unheard44/fluid_bean/releases/download/releases/SearchFilter.7z

開源項(xiàng)目被投毒，后門病毒跟隨開發(fā)流程傳播蔓延 [ R/OL ] . ( 2025-01-23 )

https://mp.weixin.qq.com/s/MF2lvyH6BxBE_muCwkOCPg