一场新被揭露的恶意软件传播活动正利用 GitHub 代码库来传播 Redox Stealer，这是一种恶意的信息窃取型恶意软件。这场针对游戏玩家、软件盗版者以及游戏模组爱好者的活动，涉及创建数千个 GitHub 代码库，这些代码库中存放着虚假的游戏模组、游戏作弊程序以及破解版软件。据网络安全研究员Tim称，这些代码库旨在诱骗用户下载会窃取敏感数据的恶意软件，这些敏感数据包括加密货币钱包私钥、银行账户凭证以及游戏账号。

　　网络犯罪分子创建并传播了数千个虚假的 GitHub 代码库，伪装成合法的Roblox、Fortnite、FL Studio以及Photoshop的模组或破解版。一旦用户下载并运行这些软件，恶意软件就会悄无声息地将数据泄露到一个 Discord 服务器上，威胁行为者会在那里收集被盗取的凭证。

　　这位研究员写道：“人们创建了数千个 GitHub 代码库，里面包含各种各样的东西 —— 从Roblox和Fortnite的模组，到破解版的FL Studio和Photoshop。” 为了提高曝光率，攻击者利用搜索引擎优化投毒技术，并有策略地操纵 GitHub 的主题和元数据，以便在搜索结果中获得更高的排名，让毫无防备的用户更容易找到并下载这些恶意文件。

　　一旦用户下载并运行了受感染的软件，Redox Stealer 就会启动，并开始悄无声息地收集敏感数据，其中包括：

　　该恶意软件会将所有窃取到的数据发送到Discord webhook，攻击者会手动筛选日志，以提取有价值的信息。

　　这位研究员警告称：“你电脑上的所有数据都会被收集起来，并发送到某个 Discord 服务器上 —— 在那里，数百人会仔细翻阅这些数据，寻找加密货币钱包私钥、银行账户、社交媒体账号凭证，甚至是 Steam 和Riot Games的账号。”

　　Tim的研究发现，有超过 1115 个代码库遵循了预先设定的恶意模板，只有 10% 的代码库通过 GitHub 的问题报告引起了怀疑。这些代码库中的许多看起来都很合法，配有伪造的截图、虚假的 VirusTotal 扫描结果，以及由人工智能生成的README文件，以避免被检测到。

　　威胁行为者利用 ChatGPT 和其他人工智能工具自动创建代码库筋斗云vpn代理，并对自述文件文本进行轻微修改，以确保每个代码库看起来都是独一无二的，从而避开自动安全检查。

　　恶意软件负载被巧妙地隐藏在 RAR 和 ZIP 压缩文件中，绕过了 GitHub 的自动恶意软件检测。恶意脚本还使用 Base64 编码和动态导入来混淆其代码，使得手动分析变得困难。

　　“经过混淆处理的代码是Redox Stealer的一个版本，它会在受害者的电脑上搜索所有有价值的东西，并悄悄地将它们发送到某个 Discord 服务器上。”

　　这条攻击链依靠 GitHub 来托管恶意软件，依靠 Discord 来泄露数据。被盗取的数据会以有条理的日志形式发送，使得网络犯罪分子能够搜索高价值的账号和金融资产。

　　尽管安全研究员们努力报告这些代码库，但 GitHub 的自动防御机制仍难以跟上，因为新的代码库会不断地以不同的账号上传和重新上传。