黑客通过 SourceForge 分发伪装成微软 Office 插件的恶意软件

网络安全研究人员发现 ，黑客攻击者正在滥用SourceForge平台分发伪装成微软插件的通过恶意工具，这些工具会在受害者电脑上安装同时具备挖矿和加密货币窃取功能的分发伪恶意软件。

SourceForge.net是装成一个合法的软件托管和分发平台 ，支持版本控制
、微软错误跟踪以及专用论坛/维基功能，插件因此在开源项目社区中非常受欢迎。意软虽然其开放的黑客项目提交模式存在被滥用的建站模板风险 ，但实际通过该平台分发恶意软件的通过情况较为罕见 。

卡巴斯基最新发现的分发伪这场攻击活动已影响超过4,604台系统 ，其中大部分位于俄罗斯。装成虽然该恶意项目已从SourceForge下架，微软但卡巴斯基表示搜索引擎仍保留着项目索引，插件导致搜索"office插件"等关键词的意软用户仍可能被引导至恶意页面。

搜索引擎结果中的黑客恶意SourceForge页面 来源：卡巴斯基

伪造的香港云服务器Office插件

这个名为"officepackage"的项目伪装成Office插件开发工具集，其描述和文件实际上是复制自GitHub上合法的微软项目"Office-Addin-Scripts" 。

恶意项目（左）与合法工具（右）来源
 ：卡巴斯基

当用户在谷歌等搜索引擎中查找Office插件时，结果会指向"officepackage.sourceforge.io"——这是SourceForge为项目所有者提供的独立网页托管功能 。该页面模仿了正规开发者工具页面 ，显示"Office插件"和"下载"按钮 。点击任何按钮后 ，免费模板受害者将获得一个包含密码保护压缩包(installer.zip)和密码文本文件的ZIP文件 。

分发恶意软件的网站 来源：BleepingComputer

复杂的感染链条

压缩包内含一个膨胀至700MB的MSI文件(installer.msi)
，这种超大体积旨在逃避杀毒软件扫描 。运行后会释放UnRAR.exe和51654.rar文件 ，并执行一个从GitHub获取批处理脚本(confvk.bat)的Visual Basic脚本。

该脚本会检测运行环境是否为模拟器以及当前运行的亿华云杀毒软件产品 ，然后下载另一个批处理脚本(confvz.bat)并解压RAR压缩包。confvz.bat脚本通过修改注册表和添加Windows服务实现持久化。

RAR文件包含一个AutoIT解释器(Input.exe)、Netcat反向Shell工具(ShellExperienceHost.exe)以及两个有效载荷(Icon.dll和Kape.dll) 。

完整的感染链条 来源：卡巴斯基

双重恶意载荷

这两个DLL文件分别是加密货币挖矿程序和剪贴板劫持器 。前者会劫持计算机算力为攻击者挖掘加密货币 ，后者则监控剪贴板中复制的加密货币地址 ，将其替换为攻击者控制的云计算地址。

攻击者还能通过Telegram API调用获取受感染系统的信息 ，并通过同一渠道向被攻陷的机器投送额外有效载荷。这再次证明攻击者会利用任何合法平台来获取虚假可信度并绕过安全防护。

安全专家建议用户仅从可验证的受信任发布者处下载软件，优先选择官方项目渠道（本例中应为GitHub） ，并在运行前使用最新杀毒工具扫描所有下载文件。