趋势科技发现黑客利用AI生成的虚假GitHub仓库传播SmartLoader加载器,进而投递Lumma信息窃取程序。攻击者通过游戏外挂/破解软件等诱饵,使用Lua脚本混淆技术绕过检测,最终窃取加密货币钱包、双重验证等敏感数据。
技术分析
攻击链概述
趋势科技威胁狩猎团队发现新型攻击活动,攻击者创建AI生成的虚假GitHub仓库,伪装成以下类型项目:
lua51.dll - LuaJIT运行时解释器luajit.exe - Lua加载器可执行文件userdata.txt - 恶意Lua脚本(经混淆处理)Launcher.bat - 执行批处理脚本
技术演进对比
| 特征 |
2024年10月旧活动 |
2025年新活动 |
| 托管方式 |
GitHub文件附件 |
GitHub Releases板块 |
| 诱导手段 |
仿冒下载页面 |
AI生成仓库文档 |
| 载荷传递 |
直接下载 |
多阶段Lua脚本执行链 |
载荷执行流程
- 受害者执行Launcher.bat触发luajit.exe
- 加载器从GitHub获取加密文件(l.txt/lmd.txt)
- 重命名为search.exe/debug.lua后执行
- 通过AutoIT脚本释放LummaStealer
- 连接C2服务器(pasteflawwed[.]world)
窃取数据类型
- 浏览器凭证与Cookie
- 加密货币钱包文件
- 2FA扩展数据(如Authenticator)
- 系统敏感信息(PII)
防御建议
企业防护措施
1
2
3
4
5
6
7
8
9
10
11
12
|
1. 终端防护:
- 部署具备行为检测的EDR解决方案
- 启用应用程序控制策略(阻止非授权脚本)
2. 网络防护:
- 阻断已知恶意GitHub域名
- 监控异常9222端口调试流量
3. 威胁狩猎:
```hunting_query
eventSubId:301 AND processFilePath:Research.com
AND hostName:pasteflawded.world
|
1
2
3
4
5
6
7
8
9
10
11
12
|
### 个人防护要点
- 验证仓库真实性(检查commit历史/贡献者)
- 使用沙箱环境检测可疑文件
- 避免下载"灰色"软件(破解/外挂工具)
## 威胁指标(IoC)
- C2域名:pasteflawded[.]world
- 文件哈希:详见趋势科技官方IoC列表
- AutoIT载荷路径:`%TEMP%\Research.com`
> 该活动显示攻击者正将AI技术与传统代码混淆(Lua/Prometheus混淆器)相结合,滥用开发平台信誉实施供应链攻击。建议结合威胁情报进行主动防御。
|