AI辅助伪造GitHub仓库助推SmartLoader与LummaStealer分发
趋势科技研究团队发现一项持续进行的攻击活动,攻击者利用伪造的GitHub仓库分发SmartLoader加载器,进而投递LummaStealer等恶意载荷。这些仓库将恶意软件伪装成游戏作弊工具、破解软件和系统工具,诱骗用户下载。
GitHub平台滥用演进
尽管利用GitHub分发恶意软件并非新技术,但攻击手段持续进化。早期活动主要利用GitHub进行文件托管,而当前攻击者通过生成式AI创建高度逼真的虚假仓库,大幅提升欺骗性。攻击者甚至在X/Twitter平台伪装安全研究人员,推广虚假开源工具以增强可信度。
技术分析深度剖析
初始诱饵机制
- 过度使用表情符号
- 不自然的短语结构
- 超链接标识
- 过度结构化内容
所有超链接均指向隐藏在Releases部分的恶意文件,降低普通用户警惕性。
载荷交付机制
ZIP压缩包包含四个组件:
lua51.dll: LUAJIT运行时解释器luajit.exe: Lua加载器可执行文件userdata.txt: 恶意Lua脚本Launcher.bat: 批处理文件,用于执行luajit.exe并传递userdata.txt参数
可执行文件和DLL文件本身无害,但批处理文件启动的Lua脚本构成实际恶意载荷。
与历史活动的技术关联
2024年10月发现的类似活动采用相同技术栈,但存在关键差异:
相同点:
- 使用混淆Lua脚本嵌入ZIP压缩包
- 通过批处理文件触发编译器加载lua51.dll
- 连接C&C服务器接收执行任务
- 使用Prometheus混淆器和ffi库对抗分析
演进点:
-
托管策略:从GitHub文件附件转向仓库Releases部分
-
规避技术:在原有活动曝光后快速调整策略
SmartLoader到LummaStealer攻击链
- 加载器从GitHub获取文件并重命名为search.exe
- 执行search.exe启动LummaStealer
- 恶意软件投放必要文件并运行隐藏在Excel文件中的加密AutoIt脚本
SmartLoader具备文件膨胀能力,可将载荷文件大小增至约1GB。攻击过程中还下载编码文本文件(l.txt和lmd.txt)作为后续攻击组件。
系统渗透与数据窃取
成功渗透后,攻击者执行多项恶意操作:
- 在%TEMP%目录创建恶意文件
- 拼接批量脚本并执行
- 使用findstr命令进行安全软件发现
- 创建伪装为"Research.com"的AutoIT解释器
- 启用浏览器调试端口
最终LummaStealer连接C&C服务器(pasteflawded[.]world),窃取包括:
- 加密货币钱包数据
- 双因素认证扩展信息
- 登录凭证
- 个人身份信息(PII)
防护建议与最佳实践
为防御此类威胁,建议采取以下措施:
- 软件来源管控:仅从官方来源下载软件,避免第三方站点和 torrent资源
- 仓库真实性验证:检查合法贡献者、仓库历史记录和AI生成痕迹
- 安全功能启用:使用能够检测恶意下载的终端安全解决方案
- 文件执行前分析:使用沙箱工具扫描未知文件
- 网络控制实施:阻断已知恶意GitHub仓库,限制未验证来源的文件下载
- 异常活动监控:使用SIEM工具检测未授权脚本执行和异常外联
- 安全意识培训:教育员工识别虚假仓库的社交工程风险
- 应用控制策略:防止未授权应用程序和脚本执行
趋势Vision One™主动防护
趋势Vision One™企业网络安全平台通过以下能力提供全面防护:
- 整合多种安全能力,加速威胁检测与响应
- 提供攻击面全面可视性
- 基于2.5亿传感器和16个全球威胁研究中心的威胁情报
- 提供智能报告和威胁洞察功能
平台内的威胁洞察应用帮助客户:
- 获取威胁参与者Water Kurita相关信息
- 了解从SmartLoader到LummaStealer的攻击链条
- 使用搜索应用进行环境内指标匹配和狩猎
结论
通过滥用GitHub可信声誉,结合社交工程和AI生成内容,攻击者成功构建了高效恶意软件分发渠道。从传统文件附件到完整仓库的策略转变,展示了攻击者为规避检测和维护操作韧性所做的适应性调整。
面对持续演进的网络威胁,组织和个体用户必须保持警惕,特别在处理开源平台资源时更应验证软件来源的真实性。