當我們在下載開源工具或第三方軟體時,習慣上會檢查幾個指標來判斷該軟體是否安全:GitHub 的 Star 數量多不多?SourceForge 的下載量高不高?YouTube 上的教學影片評價如何?甚至會把檔案丟到 VirusTotal 檢查是否有報毒。然而,最近 Check Point Research 揭露的一場攻擊行動證明,這些我們賴以生存的信任指標,現在都可以被駭客大規模地偽造。
這次的攻擊目標是加密貨幣持有者,特別是那些尋找 Solana 或 Pump.fun 狙擊機器人(Sniper Bots,指能快速搶購新發行代幣的自動化工具)以及遊戲預測工具的用戶。攻擊者利用一種稱為 Clipper(剪貼簿劫持程式)的惡意軟體,將用戶在轉帳時複製的錢包地址,在貼上瞬間偷偷替換成攻擊者的地址,導致資金因此被直接截胡。
建立偽造的信譽經濟
這場攻擊最危險的地方不在於技術複雜度,而是在於其精巧的社交工程。攻擊者不再單純發送釣魚郵件,而是建立了一套完整的信譽生態系,讓受害者在下載前覺得這是一個成熟且受信任的產品。
首先是平台操縱。攻擊者在 GitHub 上操作多個帳號互相推廣,刷高 Star 和 Fork 數量。在 SourceForge 上,他們甚至疑似使用 Android 裝置農場來刷下載量,導致數據顯示有數萬次下載,即便該軟體僅支援 Windows 和 macOS。
其次是內容偽造。他們經營一個擁有九萬多訂閱者的 YouTube 頻道,利用 AI 語音生成教學影片,並用大量假評論營造熱烈氣氛。更極端的是,他們甚至花錢使用 EIN Presswire 等新聞發佈服務,讓惡意工具的宣傳文稿出現在像 USA TODAY 這樣的大型新聞網站上,利用權威媒體的背書來降低用戶的戒心。
污染安全分析平台
對於較有經驗的工程師或技術人員,可能會將檔案上傳到 VirusTotal(一個整合數十種防毒引擎的線上掃描平台)來確認安全性。但攻擊者採取了名為 Ghost Networks 的策略,透過協同作戰的帳號群組,在 VirusTotal 的評論區刷好評並給予正面投票,試圖誘導使用者相信該檔案是安全的,甚至誤導分析人員將其誤判為良性檔案。
技術實作與影響
該惡意軟體使用 Rust 語言編寫,這使其具有高效能且能跨平台運行於 Windows 與 macOS。其核心邏輯非常簡單:持續監控系統剪貼簿,一旦偵測到符合加密貨幣錢包地址特徵的字串,立即將其替換為硬編碼在程式中的攻擊者地址。
這種攻擊模式對開發者與使用者的啟示在於,目前的信譽指標(Reputation-driven systems)已經被污染。當下載量、星級、評論甚至安全平台的社群意見都能被 AI 和自動化工具偽造時,我們不能再將這些指標視為安全的絕對保證。
實務防禦建議
面對這種高度操縱的攻擊,建議採取更嚴格的驗證流程。首先,不要僅依賴社群熱度來判斷工具安全性,應優先選擇具有透明開發紀錄且經過社群廣泛審查的知名項目。其次,對於任何涉及資金轉帳的操作,務必在貼上地址後,逐字核對錢包地址的前四碼與後四碼,而非直接信任剪貼簿內容。最後,對於來路不明的執行檔,應在隔離的虛擬機(VM)或沙箱環境中運行,並密切監控其對系統 API 的呼叫行為。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。