一场新被揭露的恶意软件传播活动正利用 GitHub 代码库来传播 Redox Stealer，这是一种恶意的信息窃取型恶意软件。这场针对游戏玩家、软件盗版者以及游戏模组爱好者的活动，涉及创建数千个 GitHub 代码库，这些代码库中存放着虚假的游戏模组、游戏作弊程序以及破解版软件。据网络安全研究员Tim称，这些代码库旨在诱骗用户下载会窃取敏感数据的恶意软件，这些敏感数据包括加密货币钱包私钥、银行账户凭证以及游戏账号。

网络犯罪分子创建并传播了数千个虚假的 GitHub 代码库，伪装成合法的Roblox、Fortnite、FL Studio以及Photoshop的模组或破解版。一旦用户下载并运行这些软件，恶意软件就会悄无声息地将数据泄露到一个 Discord 服务器上，威胁行为者会在那里收集被盗取的凭证。

这位研究员写道：“人们创建了数千个 GitHub 代码库，里面包含各种各样的东西 —— 从Roblox和Fortnite的模组，到破解版的FL Studio和Photoshop。” 为了提高曝光率，攻击者利用搜索引擎优化投毒技术，并有策略地操纵 GitHub 的主题和元数据，以便在搜索结果中获得更高的排名，让毫无防备的用户更容易找到并下载这些恶意文件。

一旦用户下载并运行了受感染的软件，Redox Stealer 就会启动，并开始悄无声息地收集敏感数据，其中包括：

1.从网络浏览器中存储的密码和会话 Cookie。

2.银行账户凭证和加密货币钱包数据。

3.Steam、拳头游戏（Riot Games）和 Epic Games 的账号。

4.用于劫持账号的 Discord 身份验证令牌。

5.剪贴板数据，包括复制的密码和地址。

该恶意软件会将所有窃取到的数据发送到Discord webhook，攻击者会手动筛选日志，以提取有价值的信息。

这位研究员警告称：“你电脑上的所有数据都会被收集起来，并发送到某个 Discord 服务器上 —— 在那里，数百人会仔细翻阅这些数据，寻找加密货币钱包私钥、银行账户、社交媒体账号凭证，甚至是 Steam 和Riot Games的账号。”

Tim的研究发现，有超过 1115 个代码库遵循了预先设定的恶意模板，只有 10% 的代码库通过 GitHub 的问题报告引起了怀疑。这些代码库中的许多看起来都很合法，配有伪造的截图、虚假的 VirusTotal 扫描结果，以及由人工智能生成的README文件，以避免被检测到。

威胁行为者利用 ChatGPT 和其他人工智能工具自动创建代码库，并对自述文件文本进行轻微修改，以确保每个代码库看起来都是独一无二的，从而避开自动安全检查。

恶意软件负载被巧妙地隐藏在 RAR 和 ZIP 压缩文件中，绕过了 GitHub 的自动恶意软件检测。恶意脚本还使用 Base64 编码和动态导入来混淆其代码，使得手动分析变得困难。

“经过混淆处理的代码是Redox Stealer的一个版本，它会在受害者的电脑上搜索所有有价值的东西，并悄悄地将它们发送到某个 Discord 服务器上。”

这条攻击链依靠 GitHub 来托管恶意软件，依靠 Discord 来泄露数据。被盗取的数据会以有条理的日志形式发送，使得网络犯罪分子能够搜索高价值的账号和金融资产。

尽管安全研究员们努力报告这些代码库，但 GitHub 的自动防御机制仍难以跟上，因为新的代码库会不断地以不同的账号上传和重新上传。