網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，攻擊者正在濫用SourceForge平臺分發(fā)偽裝成微軟插件的惡意工具，這些工具會在受害者電腦上安裝同時具備挖礦和加密貨幣竊取功能的惡意軟件。

SourceForge.net是一個合法的軟件托管和分發(fā)平臺，支持版本控制、錯誤跟蹤以及專用論壇/維基功能，因此在開源項目社區(qū)中非常受歡迎。雖然其開放的項目提交模式存在被濫用的風險，但實際通過該平臺分發(fā)惡意軟件的情況較為罕見。

卡巴斯基最新發(fā)現(xiàn)的這場攻擊活動已影響超過4,604臺系統(tǒng)，其中大部分位于俄羅斯。雖然該惡意項目已從SourceForge下架，但卡巴斯基表示搜索引擎仍保留著項目索引，導(dǎo)致搜索"office插件"等關(guān)鍵詞的用戶仍可能被引導(dǎo)至惡意頁面。

搜索引擎結(jié)果中的惡意SourceForge頁面 來源：卡巴斯基

偽造的Office插件

這個名為"officepackage"的項目偽裝成Office插件開發(fā)工具集，其描述和文件實際上是復(fù)制自GitHub上合法的微軟項目"Office-Addin-Scripts"。

惡意項目（左）與合法工具（右）來源：卡巴斯基

當用戶在谷歌等搜索引擎中查找Office插件時，結(jié)果會指向"officepackage.sourceforge.io"——這是SourceForge為項目所有者提供的獨立網(wǎng)頁托管功能。該頁面模仿了正規(guī)開發(fā)者工具頁面，顯示"Office插件"和"下載"按鈕。點擊任何按鈕后，受害者將獲得一個包含密碼保護壓縮包(installer.zip)和密碼文本文件的ZIP文件。

分發(fā)惡意軟件的網(wǎng)站 來源：BleepingComputer

復(fù)雜的感染鏈條

壓縮包內(nèi)含一個膨脹至700MB的MSI文件(installer.msi)，這種超大體積旨在逃避殺毒軟件掃描。運行后會釋放'UnRAR.exe'和'51654.rar'文件，并執(zhí)行一個從GitHub獲取批處理腳本(confvk.bat)的Visual Basic腳本。

該腳本會檢測運行環(huán)境是否為模擬器以及當前運行的殺毒軟件產(chǎn)品，然后下載另一個批處理腳本(confvz.bat)并解壓RAR壓縮包。confvz.bat腳本通過修改注冊表和添加Windows服務(wù)實現(xiàn)持久化。

RAR文件包含一個AutoIT解釋器(Input.exe)、Netcat反向Shell工具(ShellExperienceHost.exe)以及兩個有效載荷(Icon.dll和Kape.dll)。

完整的感染鏈條 來源：卡巴斯基

雙重惡意載荷

這兩個DLL文件分別是加密貨幣挖礦程序和剪貼板劫持器。前者會劫持計算機算力為攻擊者挖掘加密貨幣，后者則監(jiān)控剪貼板中復(fù)制的加密貨幣地址，將其替換為攻擊者控制的地址。

攻擊者還能通過Telegram API調(diào)用獲取受感染系統(tǒng)的信息，并通過同一渠道向被攻陷的機器投送額外有效載荷。這再次證明攻擊者會利用任何合法平臺來獲取虛假可信度并繞過安全防護。

安全專家建議用戶僅從可驗證的受信任發(fā)布者處下載軟件，優(yōu)先選擇官方項目渠道（本例中應(yīng)為GitHub），并在運行前使用最新殺毒工具掃描所有下載文件。