Sophos X-Ops 團隊在近期調查中發現了一場針對黑客和游戲作弊者的復雜攻擊活動，其源頭是一個名為 Sakura RAT 的后門遠程訪問木馬。

偽裝的開源項目

事件始于某客戶向 Sophos 咨詢是否能夠防御 GitHub 上托管的開源遠程訪問木馬 Sakura RAT。經分析發現，該木馬代碼存在嚴重缺陷——許多組件殘缺不全或直接抄襲自 AsyncRAT 等其他惡意軟件，即使編譯也無法正常運行。

研究人員在 Visual Basic 項目文件中發現了一個隱藏的<PreBuild>事件，當項目編譯時會秘密下載并安裝惡意軟件。Sophos 指出："Sakura RAT 本身就被植入了后門，其代碼專門針對編譯該木馬的用戶，會植入信息竊取程序和其他遠程控制木馬。"

大規模后門倉庫

通過 GitHub YAML 文件中發現的郵箱 ischhfd83[at]rambler.ru，Sophos 追蹤到 141 個相關代碼倉庫，其中 133 個被植入后門，111 個包含 PreBuild 后門機制。

偽裝成 CVE-2025-12654 漏洞利用工具的惡意倉庫 | 圖片來源：Sophos X-Ops

這些倉庫偽裝成游戲外掛和黑客工具，利用腳本小子和業余黑客的好奇心與貪欲進行傳播。部分媒體在不知情的情況下報道了這些倉庫，進一步擴大了攻擊面。

復雜的感染鏈

僅 Visual Studio 版本的攻擊鏈就包含四個階段：

• PreBuild 腳本靜默釋放 .vbs 文件
• 該腳本寫入并執行 PowerShell 載荷
• 載荷下載包含 Electron 惡意程序 SearchFilter.exe 的 7z 壓縮包
• 高度混淆的 JavaScript 文件實施數據竊取、計劃任務、防御規避并通過 Telegram 與攻擊者通信

惡意軟件會收集用戶名、主機名、網絡接口等信息，通過 Telegram 發送給攻擊者。

多樣化的后門技術

除 PreBuild 后門外，研究人員還發現三種變體：

• 使用 Fernet 加密并通過空格隱藏的 Python 后門
• 利用從右至左文本覆蓋技術偽裝的屏保程序(.scr)
• 采用 eval() 和多階段混淆載荷的 JavaScript 后門

每種變體都采用獨特的混淆技術和規避手段以提高感染成功率。

自動化攻擊特征

攻擊者通過 GitHub Actions 實現自動提交，使用循環賬號（如 Mastoask、Maskts 和 Mastrorz）偽造貢獻記錄，并通過 YAML 腳本模擬活躍開發狀態。Sophos 分析認為："攻擊者可能想制造倉庫定期維護的假象，以吸引更多潛在受害者。"

攻擊者身份推測

雖然 ischhfd83 的真實身份仍是個謎，但調查發現其與 Stargazer Goblin 等惡意軟件分發即服務(DaaS)網絡存在關聯。惡意軟件中嵌入的 Telegram 機器人指向 likely alias "unknownx"，團隊還發現可疑域名 arturshi.ru——該域名曾托管虛假網紅課程，現重定向至金融詐騙網站。

Sophos 在報告中警告："我們懷疑事件背后可能還有更多隱情，將持續監控后續發展。"