黑客利用 GitHub 传播伪装成免费 VPN 的恶意软件

图片

网络安全公司 Cyfirma 发现，攻击者正利用 GitHub 平台，将强大的信息窃取恶意软件伪装成 “免费 PC VPN” 进行传播。这类恶意程序通常以 “Free VPN for PC” 为名托管在 GitHub 账户中，而实际会在用户系统中安装 Lumma 信息窃取器（infostealer）。更值得警惕的是，攻击者还通过 “Minecraft 皮肤” 等文件名上传类似样本，显然在同时 targeting 隐私需求用户与年轻游戏群体。

01 为何 GitHub 成为攻击温床？

攻击者利用 GitHub 的开源信任机制和用户生成内容模式，将恶意载荷（payload）伪装成合法工具。这种 “借壳传播” 的方式利用平台公信力降低用户警惕性，甚至部分安全工具也可能因白名单机制未能及时拦截。

Lumma 信息窃取器作为当前最活跃的恶意程序之一，传播渠道呈多元化特征：

• 伪装破解教程：通过 YouTube 视频伪装成软件破解指南，诱导用户下载恶意安装包；
• 虚假验证码弹窗：以 “人机验证” 为由诱使用户执行恶意脚本；
• 地下黑产商业化：自 2022 年起以 “恶意软件即服务”（MaaS）模式在暗网论坛及 Telegram 频道售卖，月租 140-160 美元。

尽管美国司法部与微软于今年 5 月联合取缔了 2300 余个恶意域名，重创 LummaC2 控制基础设施，但变种攻击仍在持续。

02 防护指南：五步阻断 Lumma 攻击链

1. 警惕可疑链接钓鱼链接常藏身于邮件、社交媒体广告，务必核查域名真实性；
2. 拒绝未知来源文件盗版游戏、影视资源是重灾区，建议通过官方渠道获取内容；
3. 部署实时防护工具主流杀毒软件可识别 Lumma 特征码，需开启 “行为监控” 功能；
4. 禁用命令行随意执行攻击者常诱导用户在 CMD 或运行窗口粘贴代码，此类操作应 100% 拒绝；
5. 强制启用 2FA即便设备感染，双重认证可阻断账户权限窃取，尤其针对银行、邮箱等关键服务。

当前网络攻击正呈现 “合法平台武器化” 趋势，用户需建立 “开源≠安全” 的认知，对非官方工具保持审慎态度。