在不断演变的网络威胁领域,两个传统上被认为是内容创作、学习和开源协作的安全空间的平台——YouTube 和 GitHub,已成为传播旨在窃取加密货币和个人数据的恶意软件的目标。到了 2024 年,威胁格局发生了变化,网络犯罪分子使用日益复杂的方法来利用这些平台,借助其广泛的用户群和受信任的声誉进行攻击。那么,网络犯罪分子究竟是如何利用 YouTube 和 GitHub 传播恶意软件的?我们又该如何保护自己?
如果您是一名内容创作者或数据科学家,可能会认为 YouTube 和 GitHub 是安全的平台,但正因为这种信任,它们被滥用时会更具威胁性。为什么这些平台如今会成为加密货币恶意软件的传播目标? \
让我们一探究竟:
您知道吗? “恶意软件即服务(MaaS)”平台使复杂的恶意软件可以被任何愿意支付费用的人使用,将网络犯罪变成一种租赁服务。这些平台通常提供各种套餐,包括专门针对加密货币钱包的信息窃取工具,如 RedLine。
GitHub 是一个传统上用于共享开源代码的平台,但现在已成为网络攻击的重要目标。其作为开发者和技术爱好者可信代码库的声誉,使攻击者可以轻松地将恶意代码隐藏在显而易见的地方,主要攻击目标是加密货币钱包和个人信息。
2024 年 7 月,Check Point Research 揭露了一个名为 Stargazers Ghost 网络 的复杂恶意软件分发即服务(DaaS)网络。这种恶意软件在 GitHub 上至少已活跃一年之久。
该网络利用一系列“幽灵”账户,这些账户通过执行典型的 GitHub 活动(例如收藏仓库和关注其他用户)伪装成合法账户,从而制造出它们是普通用户参与开源社区的假象。
然而,这些幽灵账户通过在其 GitHub 仓库中嵌入恶意链接传播恶意软件。在一个特别值得注意的活动中,该网络传播了一种名为 Atlantida Stealer 的新型恶意软件家族,专门用于窃取加密货币钱包、登录凭据以及个人身份信息(PII)。在短短四天内,通过 GitHub 仓库传播的 Atlantida Stealer 感染了超过 1,300 名用户。
通过该网络传播的恶意软件家族包括 Atlantida Stealer、Rhadamanthys、Lumma Stealer 和 RedLine。这些网络犯罪分子是如何滥用 GitHub 的?让我们详细解析。
README.md 文件被用作特洛伊木马。您可能会认为 GitHub 仓库中的 README.md 文件只是项目说明或使用指南,但实际上,这些文件可能充满伪装成有用资源的恶意链接,例如“帮助您增长社交媒体关注度”的链接。这些链接会将用户引导至网络钓鱼网站或恶意软件页面。
利用“星标”和“分支”的力量。在 GitHub 上,一个项目如果获得大量星标或被频繁分支(fork),通常看起来很受欢迎且值得信赖。网络犯罪分子通过创建多个虚假账户(即“幽灵”账户)为自己的仓库点赞和分支,从而让其恶意代码看起来更合法。星标越多,该项目乍看之下越可信,许多用户因此信任高互动率的项目,而不会深入检查其实际内容。
账户轮换策略。像 Stargazers Ghost 网络这样的网络犯罪分子通常领先一步。为了逃避检测,他们不断创建新账户并轮换操作,即使平台对其进行封禁,也很难彻底阻止其恶意活动。
发布版本中隐藏恶意软件。这些恶意文件通常隐藏在密码保护的压缩包中(例如 .zip 或 .7z 文件),使得检测更加困难。这些文件通常伪装成合法软件,诱使毫无防备的用户下载。
更令人担忧的是,这些幽灵账户已发展为一种黑暗网络业务(通过出租账户来增强项目的可信度)。犯罪分子向他人收费,通过“星标”和“分支”操作使恶意项目看起来值得信赖。Stargazers Ghost 网络通过这些服务赚取了大约 10 万美元。
通过了解上述操控技术,您可以避免落入网络犯罪分子的陷阱。
您知道吗?在 GitHub 上,“星标”一个仓库实际上是在为其添加书签,方便以后查看。这是一种表达对项目欣赏或兴趣的方式。而“分支”一个仓库则允许您创建其副本,从而可以进行试验、修改或基于原项目进行开发,而不会影响原始版本。
拥有超过 25 亿用户的 YouTube 已成为教程、娱乐和教育内容的首选平台。这庞大的用户群使其成为网络犯罪分子的理想目标,他们利用平台漏洞攻击毫无戒心的用户。方法包括误导性视频、虚假的教程以及嵌入在视频描述中的恶意链接。
例如,网络犯罪分子经常发布声称提供热门软件“破解”版本的视频,例如 AutoCAD、Adobe After Effects 或 Photoshop,吸引那些不愿意或无法支付正版费用的用户。
许多人没有意识到,按照这些视频中的指示操作,可能下载到的不是他们期望的软件,而是恶意软件。
真实案例:Lumma Stealer \ 2024 年,Lumma Stealer 恶意软件一直在 YouTube 上传播。该软件旨在提取高度敏感的信息,例如保存的浏览器密码、Cookies 甚至加密货币钱包的凭据。
让我们了解其运作方式:
恶意软件隐藏在 ZIP 文件中。网络犯罪分子将恶意软件打包在一个 ZIP 文件中,并通过视频描述中的链接引导用户下载。
伪装成教程的视频。这些视频被巧妙地伪装成软件安装教程或“操作指南”。一旦用户按照步骤操作,他们的电脑就会在不知情的情况下被感染。
这种攻击利用了用户对 YouTube 的信任。毕竟,当一个视频有数十万次观看和许多正面评论时,很难让人想到它可能会对电脑造成伤害。这正是这些攻击的高效之处:它们与合法内容无缝融合,难以分辨。
您知道吗? 恶意软件创建者已经开发出了一种高效的分发方法,通过在公共 GitHub 仓库的评论中发布恶意链接。这些评论通常包含一个指向加密存档(例如 Mediafire[.]com)的链接,以及一个常见的密码“changeme”来解压缩文件。一旦受害者下载并解压这些存档,他们的数据就会面临被泄露的风险。
网络犯罪分子还开始使用更先进的技术,例如会话劫持。这种方法甚至不需要用户的密码或凭据,而是通过劫持会话 Cookies 来完成攻击。会话 Cookies 是跟踪用户在 YouTube 或 Google 等平台上的活动的小文件。通过这些 Cookies,攻击者可以绕过双因素身份验证(2FA),直接访问用户账户。
2024 年 3 月,一项恶意软件活动被发现通过 YouTube 视频描述传播。这种恶意软件旨在窃取会话 Cookies,允许攻击者劫持用户账户并进一步扩散。
2023 年,网络安全公司 Bitdefender 识别出一种名为“流劫持”(stream-jacking)的技术,网络犯罪分子利用该技术劫持高知名度账户。常见的案例是使用伪造的埃隆·马斯克和特斯拉相关内容的深度伪造视频,诱导用户进入诈骗。
通过伪装成合作邀请的网络钓鱼邮件,黑客会安装 Redline Infostealer 恶意软件,甚至能绕过 2FA 保护。这些攻击者通过恶意链接或视频中的嵌入二维码将用户引导至加密货币诈骗网站。他们会删除或隐藏原始内容,并将描述改为类似官方特斯拉频道的信息。在检测到可疑活动后,YouTube 通常会关闭这些账户,但这对合法账户持有者造成了巨大损失,包括视频、订阅者和货币化收入。
您知道吗?网络钓鱼攻击经常利用欺骗性域名诱骗用户下载恶意软件或泄露敏感信息。犯罪分子使用诸如 pro-swapper[.]com、fenzor[.]com 和 vortex-cloudgaming[.]com 等网站,模仿合法平台来引诱受害者。在下载文件或输入个人信息之前,请始终核实网站的真实性。
随着网络攻击的日益普遍,用户保持警惕比以往任何时候都更加重要。以下是一些保护自己的方法:
监控您的账户活动。包括 Google 和 GitHub 在内的许多平台都允许您查看最近的登录记录和连接到账户的设备。如果发现任何可疑活动,立即更改密码并注销所有会话。
使用强密码并启用双因素身份验证(2FA)。虽然 2FA 对于防御会话劫持并非万无一失,但它仍然是重要的保护层。为每个平台使用强而独特的密码,可以防止攻击者在一个账户被攻破后轻松访问您的其他账户。
选择抗网络钓鱼的多因素认证(MFA)。优先使用硬件安全密钥或基于生物识别的 MFA,以获得更强的防钓鱼保护。
在点击链接前仔细检查。在点击 YouTube 视频描述或 GitHub 仓库中的链接之前,始终验证其合法性。注意是否存在异常,例如缩短的 URL 或与平台通常结构不符的域名。
对免费的软件提供保持怀疑。如果某个内容好得令人难以置信,那么它很可能有问题。警惕任何声称提供破解软件的视频或 GitHub 仓库,尤其是那些要求从不熟悉的网站下载文件的内容。始终从官方和可信来源下载软件。
定期更新软件。保持操作系统、防病毒软件和应用程序的最新状态,对于防御恶意软件利用已知漏洞至关重要。
不幸的是,利用 YouTube 和 GitHub 等平台分发恶意软件的趋势丝毫没有减缓的迹象。随着这些平台的不断扩展,网络犯罪分子为了利用它们所采取的手段也将变得更加具有创意和复杂性。
展望未来,网络犯罪分子可能会整合人工智能(AI)驱动的工具,使这些攻击变得更加难以检测。试想一下,AI 驱动的“幽灵”账户能够自主与用户互动,根据实时交流和个性化响应量身定制网络钓鱼信息。这可能导致一波更具欺骗性的恶意软件传播,几乎无法与合法活动区分开来。
在加密货币普及率不断提高、数字平台日益成为生活各方面核心的世界中,理解和减轻这些风险显得尤为重要。用户必须保持警惕,平台需要加强其安全措施,同时网络安全专家、开发者及其他关键利益相关者之间的合作也必不可少,以确保更安全的数字未来。
在不断演变的网络威胁领域,两个传统上被认为是内容创作、学习和开源协作的安全空间的平台——YouTube 和 GitHub,已成为传播旨在窃取加密货币和个人数据的恶意软件的目标。到了 2024 年,威胁格局发生了变化,网络犯罪分子使用日益复杂的方法来利用这些平台,借助其广泛的用户群和受信任的声誉进行攻击。那么,网络犯罪分子究竟是如何利用 YouTube 和 GitHub 传播恶意软件的?我们又该如何保护自己?
如果您是一名内容创作者或数据科学家,可能会认为 YouTube 和 GitHub 是安全的平台,但正因为这种信任,它们被滥用时会更具威胁性。为什么这些平台如今会成为加密货币恶意软件的传播目标? \
让我们一探究竟:
您知道吗? “恶意软件即服务(MaaS)”平台使复杂的恶意软件可以被任何愿意支付费用的人使用,将网络犯罪变成一种租赁服务。这些平台通常提供各种套餐,包括专门针对加密货币钱包的信息窃取工具,如 RedLine。
GitHub 是一个传统上用于共享开源代码的平台,但现在已成为网络攻击的重要目标。其作为开发者和技术爱好者可信代码库的声誉,使攻击者可以轻松地将恶意代码隐藏在显而易见的地方,主要攻击目标是加密货币钱包和个人信息。
2024 年 7 月,Check Point Research 揭露了一个名为 Stargazers Ghost 网络 的复杂恶意软件分发即服务(DaaS)网络。这种恶意软件在 GitHub 上至少已活跃一年之久。
该网络利用一系列“幽灵”账户,这些账户通过执行典型的 GitHub 活动(例如收藏仓库和关注其他用户)伪装成合法账户,从而制造出它们是普通用户参与开源社区的假象。
然而,这些幽灵账户通过在其 GitHub 仓库中嵌入恶意链接传播恶意软件。在一个特别值得注意的活动中,该网络传播了一种名为 Atlantida Stealer 的新型恶意软件家族,专门用于窃取加密货币钱包、登录凭据以及个人身份信息(PII)。在短短四天内,通过 GitHub 仓库传播的 Atlantida Stealer 感染了超过 1,300 名用户。
通过该网络传播的恶意软件家族包括 Atlantida Stealer、Rhadamanthys、Lumma Stealer 和 RedLine。这些网络犯罪分子是如何滥用 GitHub 的?让我们详细解析。
README.md 文件被用作特洛伊木马。您可能会认为 GitHub 仓库中的 README.md 文件只是项目说明或使用指南,但实际上,这些文件可能充满伪装成有用资源的恶意链接,例如“帮助您增长社交媒体关注度”的链接。这些链接会将用户引导至网络钓鱼网站或恶意软件页面。
利用“星标”和“分支”的力量。在 GitHub 上,一个项目如果获得大量星标或被频繁分支(fork),通常看起来很受欢迎且值得信赖。网络犯罪分子通过创建多个虚假账户(即“幽灵”账户)为自己的仓库点赞和分支,从而让其恶意代码看起来更合法。星标越多,该项目乍看之下越可信,许多用户因此信任高互动率的项目,而不会深入检查其实际内容。
账户轮换策略。像 Stargazers Ghost 网络这样的网络犯罪分子通常领先一步。为了逃避检测,他们不断创建新账户并轮换操作,即使平台对其进行封禁,也很难彻底阻止其恶意活动。
发布版本中隐藏恶意软件。这些恶意文件通常隐藏在密码保护的压缩包中(例如 .zip 或 .7z 文件),使得检测更加困难。这些文件通常伪装成合法软件,诱使毫无防备的用户下载。
更令人担忧的是,这些幽灵账户已发展为一种黑暗网络业务(通过出租账户来增强项目的可信度)。犯罪分子向他人收费,通过“星标”和“分支”操作使恶意项目看起来值得信赖。Stargazers Ghost 网络通过这些服务赚取了大约 10 万美元。
通过了解上述操控技术,您可以避免落入网络犯罪分子的陷阱。
您知道吗?在 GitHub 上,“星标”一个仓库实际上是在为其添加书签,方便以后查看。这是一种表达对项目欣赏或兴趣的方式。而“分支”一个仓库则允许您创建其副本,从而可以进行试验、修改或基于原项目进行开发,而不会影响原始版本。
拥有超过 25 亿用户的 YouTube 已成为教程、娱乐和教育内容的首选平台。这庞大的用户群使其成为网络犯罪分子的理想目标,他们利用平台漏洞攻击毫无戒心的用户。方法包括误导性视频、虚假的教程以及嵌入在视频描述中的恶意链接。
例如,网络犯罪分子经常发布声称提供热门软件“破解”版本的视频,例如 AutoCAD、Adobe After Effects 或 Photoshop,吸引那些不愿意或无法支付正版费用的用户。
许多人没有意识到,按照这些视频中的指示操作,可能下载到的不是他们期望的软件,而是恶意软件。
真实案例:Lumma Stealer \ 2024 年,Lumma Stealer 恶意软件一直在 YouTube 上传播。该软件旨在提取高度敏感的信息,例如保存的浏览器密码、Cookies 甚至加密货币钱包的凭据。
让我们了解其运作方式:
恶意软件隐藏在 ZIP 文件中。网络犯罪分子将恶意软件打包在一个 ZIP 文件中,并通过视频描述中的链接引导用户下载。
伪装成教程的视频。这些视频被巧妙地伪装成软件安装教程或“操作指南”。一旦用户按照步骤操作,他们的电脑就会在不知情的情况下被感染。
这种攻击利用了用户对 YouTube 的信任。毕竟,当一个视频有数十万次观看和许多正面评论时,很难让人想到它可能会对电脑造成伤害。这正是这些攻击的高效之处:它们与合法内容无缝融合,难以分辨。
您知道吗? 恶意软件创建者已经开发出了一种高效的分发方法,通过在公共 GitHub 仓库的评论中发布恶意链接。这些评论通常包含一个指向加密存档(例如 Mediafire[.]com)的链接,以及一个常见的密码“changeme”来解压缩文件。一旦受害者下载并解压这些存档,他们的数据就会面临被泄露的风险。
网络犯罪分子还开始使用更先进的技术,例如会话劫持。这种方法甚至不需要用户的密码或凭据,而是通过劫持会话 Cookies 来完成攻击。会话 Cookies 是跟踪用户在 YouTube 或 Google 等平台上的活动的小文件。通过这些 Cookies,攻击者可以绕过双因素身份验证(2FA),直接访问用户账户。
2024 年 3 月,一项恶意软件活动被发现通过 YouTube 视频描述传播。这种恶意软件旨在窃取会话 Cookies,允许攻击者劫持用户账户并进一步扩散。
2023 年,网络安全公司 Bitdefender 识别出一种名为“流劫持”(stream-jacking)的技术,网络犯罪分子利用该技术劫持高知名度账户。常见的案例是使用伪造的埃隆·马斯克和特斯拉相关内容的深度伪造视频,诱导用户进入诈骗。
通过伪装成合作邀请的网络钓鱼邮件,黑客会安装 Redline Infostealer 恶意软件,甚至能绕过 2FA 保护。这些攻击者通过恶意链接或视频中的嵌入二维码将用户引导至加密货币诈骗网站。他们会删除或隐藏原始内容,并将描述改为类似官方特斯拉频道的信息。在检测到可疑活动后,YouTube 通常会关闭这些账户,但这对合法账户持有者造成了巨大损失,包括视频、订阅者和货币化收入。
您知道吗?网络钓鱼攻击经常利用欺骗性域名诱骗用户下载恶意软件或泄露敏感信息。犯罪分子使用诸如 pro-swapper[.]com、fenzor[.]com 和 vortex-cloudgaming[.]com 等网站,模仿合法平台来引诱受害者。在下载文件或输入个人信息之前,请始终核实网站的真实性。
随着网络攻击的日益普遍,用户保持警惕比以往任何时候都更加重要。以下是一些保护自己的方法:
监控您的账户活动。包括 Google 和 GitHub 在内的许多平台都允许您查看最近的登录记录和连接到账户的设备。如果发现任何可疑活动,立即更改密码并注销所有会话。
使用强密码并启用双因素身份验证(2FA)。虽然 2FA 对于防御会话劫持并非万无一失,但它仍然是重要的保护层。为每个平台使用强而独特的密码,可以防止攻击者在一个账户被攻破后轻松访问您的其他账户。
选择抗网络钓鱼的多因素认证(MFA)。优先使用硬件安全密钥或基于生物识别的 MFA,以获得更强的防钓鱼保护。
在点击链接前仔细检查。在点击 YouTube 视频描述或 GitHub 仓库中的链接之前,始终验证其合法性。注意是否存在异常,例如缩短的 URL 或与平台通常结构不符的域名。
对免费的软件提供保持怀疑。如果某个内容好得令人难以置信,那么它很可能有问题。警惕任何声称提供破解软件的视频或 GitHub 仓库,尤其是那些要求从不熟悉的网站下载文件的内容。始终从官方和可信来源下载软件。
定期更新软件。保持操作系统、防病毒软件和应用程序的最新状态,对于防御恶意软件利用已知漏洞至关重要。
不幸的是,利用 YouTube 和 GitHub 等平台分发恶意软件的趋势丝毫没有减缓的迹象。随着这些平台的不断扩展,网络犯罪分子为了利用它们所采取的手段也将变得更加具有创意和复杂性。
展望未来,网络犯罪分子可能会整合人工智能(AI)驱动的工具,使这些攻击变得更加难以检测。试想一下,AI 驱动的“幽灵”账户能够自主与用户互动,根据实时交流和个性化响应量身定制网络钓鱼信息。这可能导致一波更具欺骗性的恶意软件传播,几乎无法与合法活动区分开来。
在加密货币普及率不断提高、数字平台日益成为生活各方面核心的世界中,理解和减轻这些风险显得尤为重要。用户必须保持警惕,平台需要加强其安全措施,同时网络安全专家、开发者及其他关键利益相关者之间的合作也必不可少,以确保更安全的数字未来。