vbnetcx的博客

对其进行解混淆，分析其为注入器代码，解密内存中的PE，并将其注入到C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\RegAsm.exe。这些脚本执行以下恶意操作。模块进行分析，发现其是剪贴板程序，其主要负责监控剪贴板信息，并匹配剪贴板首字符替换相应的矿池地址，并将其原始剪贴板信息发送到Telegram Bot，其。在软件开发的生态系统中，开发者所使用的工具和库往往会通过软件供应链传播到更广泛的应用中，它们会通过层层传递，融入到更广泛的应用程序中。

近期发现黑客利用Visual Studio开发环境的.suo配置文件实施隐蔽攻击，该文件通常存储用户个性化设置且不纳入版本控制。攻击者通过篡改.suo文件注入恶意代码，利用IDE自动加载特性触发执行。安全专家建议采取多维度防护措施：使用专用分析工具检测异常配置、实施文件监控与访问控制、加强开发环境安全配置，并建立应急响应机制。该攻击疑似东南亚APT组织所为，凸显开发环境安全防护的重要性。

APT组织"海莲花"在Github发布伪装成提权工具的后门项目"PrivilegeEscalationHelper"，针对安全从业人员进行钓鱼攻击。攻击利用Visual Studio的.suo文件作为载体，通过结构化存储格式隐藏恶意代码，在项目加载时自动执行。分析显示该后门可窃取浏览器数据、建立持久化连接并注入合法进程。已有200多名开发者受影响，凸显开源供应链安全风险。建议通过二进制分析、SRP策略和开发流程规范加强防护，建立SBOM管理制度防范此类供应链攻击。

东南亚APT组织"海莲花"利用GitHub平台发起针对安全研究人员的供应链攻击。攻击者通过植入恶意代码的Visual Studio项目（.suo文件）实施定向攻击，具有自销毁特性。该攻击自2024年9月持续至10月，主要针对国内使用CobaltStrike等工具的安全从业者。微步在线确认攻击并提取IOC指标，其全线产品已支持检测防护。攻击手法包括伪装GitHub账号、利用Notion API通信等技术特征，与历史"海莲花"活动高度关联。

自北京时间 2024.12.4 晚间6点起， GitHub 上不断出现“幽灵仓库”，仓库中没有任何代码，只有诱导性的病毒文件。当天，他们成为了 GitHub 上 star 增速最快的仓库。超过 180 个虚假僵尸账户正在传播病毒，等待不幸者上钩。而这一切被一位中国开发者--我收在眼底。经过几天的探测寻找，疑似找到了攻击者的真身。

近期，GitHub上出现一起针对安全研究人员的投毒攻击，攻击者将开源的免杀工具项目植入恶意代码，伪装为“安全工具更新”进行分发。样本在保持原功能的同时，捆绑了XWorm RAT和门罗币挖矿木马，通过多阶段加载、短链接隐藏C2、进程注入等方式实现隐蔽驻留。该攻击使用伪造证书、代码空洞植入等技术绕过检测，并通过GitHub Actions自动分发，威胁供应链安全。建议开发者严格审查第三方代码与commit记录，企业应加强EDR对异常进程和网络行为的监控，个人用户需验证项目来源与签名。

近日，有黑客针对 Discord Top.gg 的GitHub 账户发起了供应链攻击，此次攻击导致账户密码、凭证和其他敏感信息被盗，同时也影响到了大量开发人员。Checkmarx 在一份技术报告中提到，黑客在这次攻击中使用了多种TTP，其中包括窃取浏览器cookie接管账户、通过验证提交恶意代码、建立自定义Python镜像，以及向PyPI注册表发布恶意软件包等。Checkmarx 指出，黑客对该平台频繁发起攻击的主要目的很可能是窃取数据并通过出售窃取的信息实现盈利。

GitHub爆发大规模开源仓库投毒事件，涉及超3.5万个仓库被植入恶意代码。攻击主要针对Go语言、NPM和Docker配置文件，98%受影响项目为长期不维护的仓库。溯源显示攻击始于2019年，近期集中爆发，使用俄罗斯服务器作为C&C控制中心。恶意代码会窃取环境变量、建立持久化连接并横向扩散。GitHub已紧急隔离所有受感染仓库，建议开发者启用MFA、定期轮换API token，并检查项目依赖。该事件凸显开源供应链安全风险，尤其对低维护项目的渗透威胁。