IT之家 7 月 16 日消息,安全公司 Arctic Wolf 发文,透露有黑客团队从 6 月 26 日开始陆续在 GitHub 上建立了至少 292 个冒充知名软件及安全品牌的仓库,通过伪造的 README 说明和下载页面传播 Windows 信息窃取 BoryptGrab 木马,以窃取受害者设备上的浏览器凭据、加密货币钱包、即时通讯软件账号等敏感数据。 具体来看,黑客会在伪造仓库的 README 文件中植入恶意链接,引导用户进入伪造的“安全下载”页面,诱骗下载包含 BoryptGrab 木马的钓鱼文件,一旦受害者在设备上运行相应文件便会中招。 Arctic Wolf 进一步分析 BoryptGrab 木马,发现其中内置 11 个信息窃取模块,可窃取浏览器保存的账号、密码、Cookie 以及加密货币钱包数据,同时还会搜集 Telegram、Discord、Steam 及 MetaMask 等通信或数字资产平台的账号信息。此外,该木马还会窃取桌面和“文档”目录中的文件名单、截取屏幕画面,并提取 Windows Credential Manager 中存储的凭据上传至黑客架设的 C2 服务器。 截至报告发布时,Arctic Wolf 已联系 GitHub 移除大部分恶意仓库,但其警告目前仍有数十个漏网之鱼仓库未关闭,同时黑客部署的钓鱼文件下载服务器也仍处于在线状态,用户应当谨慎对待各类 GitHub 仓库内 README 文件中提供的链接。
Back to Technology
Technology
July 16, 2026 at 10:31 AM
安全公司曝光有黑客在 GitHub 建立近 300 个山寨仓库,旨在传播 BoryptGrab 木马窃取敏感数据
IT Home