GitHub 假 repo 扮正版軟件散毒:撳 README 下載前點樣驗明正身
Tech News

GitHub 假 repo 扮正版軟件散毒:撳 README 下載前點樣驗明正身

圖片:via iThome — https://www.ithome.com.tw/news/177397
TechLab 編輯部(譯)·

近 300 個仿冒 repo 借品牌名同搜尋結果,引人下載竊資軟件

GitHub 有原始碼、有 issue、有 commit,個樣天生令人放低戒心。不過攻擊者正正食住呢份信任:砌個似模似樣嘅 repo,抄品牌資料,再喺 README 擺個「官方下載」掣。你撳入去見到熟悉嘅產品名,未必會再查網址屬於邊個,惡意檔案就係咁入機。

Repo 本身乾淨,都可以係個陷阱

Arctic Wolf Labs 話,團隊先發現有人冒充自家品牌,其後再搵到近 300 個同類 repo,假扮保安工具、企業軟件同其他熱門產品。iThome 報道亦將呢批假 repo 列為當日資安焦點。值得留意係,GitHub 頁面本身可以只放普通文字同圖片,真正有毒嘅內容藏喺 README 指向嘅外部下載頁,所以淨係見 GitHub 網址,完全唔夠證明安全。

呢種做法亦識得借搜尋器幫手。攻擊者用品牌名、產品名同「免費下載」一類關鍵字吸引流量,搜尋結果一旦排得夠前,用家就可能由 Google 直接跳入假 repo。repo 有 README、有版本號,甚至講到產品功能,外觀已經足以呃過趕住裝工具、冇逐項核實嘅人。

正常程式點樣載入惡意 DLL

Arctic Wolf 拆解嘅樣本會叫用家下載 ZIP,再執行扮成官方安裝程式嘅 EXE。程式啟動後載入同一資料夾入面冒充 libcurl.dll 嘅檔案,借 DLL side-loading 執行加密 payload,最後放出 BoryptGrab 類竊資軟件。呢招利用 Windows 程式搵 DLL 嘅載入次序,外層程式就算睇落正常,旁邊嗰個 DLL 都可以暗中接管流程。

竊資軟件唔使長期留喺部機,都可以喺短時間內偷走大量資料。瀏覽器儲存嘅登入資料、session cookie、加密貨幣錢包,同工作資料夾入面嘅檔案,都可能喺短時間內俾人搬走。開發者部機通常仲有 GitHub token、雲端金鑰、公司 VPN 同測試環境權限,一裝錯呢類程式,攻擊者就可能由個人帳戶再入侵公司系統。

下載前,用兩分鐘查四樣嘢

第一步係由軟件官方網站反向搵 GitHub 連結,唔好單靠搜尋結果認 repo。跟住核對 organization 名、帳戶歷史、release 發布者同近期活動;新開帳戶突然擺出「免費企業版」,已經夠可疑。README 個下載掣如果跳去陌生網域、GitHub Pages 或另一個短網址,先停手查清楚,正常開源項目通常會用 Releases、官方 package registry,或者自家下載頁交付檔案。

有 hash、數碼簽署或 artifact attestation 就逐一驗證,冇提供任何核實方法嘅 Windows binary,唔好因為星數多就直接執行。GitHub 官方亦提供 gh release verifygh release verify-asset,用嚟核對 immutable release 同本機檔案。公司可以再加 application allowlisting、EDR 同隔離測試環境,減低員工一撳 EXE 就失守嘅機會。

自建 SharePoint 團隊亦要即刻對修補紀錄

iThome 同時提到 SharePoint Server 漏洞修補後不久已有攻擊消息。Microsoft 將 CVE-2026-56164 標示為已偵測到實際利用,影響重點落喺自建 SharePoint Server;用 Microsoft 365 雲端服務嘅團隊唔應混為一談。管理自建環境嗰班人要核對 July 2026 更新係咪真係裝妥,亦要翻查登入、權限變動同異常程序紀錄,唔好見更新任務顯示完成就當冇事。

呢類假 repo 會利用大家對 GitHub 嘅信任,引人下載惡意檔案,攻擊者根本唔使入侵 GitHub 本身。軟件來源核實應該變成開發團隊嘅固定習慣:由官網入、認清擁有者、驗證 release,同埋唔執行來歷不明嘅 binary。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook