Honker.org.cn红盟网讯 快科技1月23日消息，火绒安全发文称，它们近期监测到一批GitHub投毒的恶意样本。

经火绒工程师分析，该木马利用多种编程语言（包括JavaScript、VBS、PowerShell、C#、C++）构建复杂的进程链，最终实现恶意后门木马功能。

有病毒能够实现远程控制、剪贴板内容篡改、浏览器Cookie及其他敏感信息窃取等破坏性操作，对用户系统安全构成严重威胁。

样本分析

该样本通过利用Visual Studio的PreBuildEvent机制执行恶意命令，生成VBS脚本以下载7z解压工具和恶意压缩包SearchFilter.7z。解压后，样本加载一个基于Electron框架的程序，该程序具备反调试和虚拟机检测功能，能够规避安全分析环境。

随后，程序从GitHub下载并解压第二个恶意压缩包BitDefender.7z，进一步释放多个恶意模块，包括后门工具（如AsyncRAT、Quasar、Remcos）、剪贴板劫持组件以及Lumma Stealer窃密木马。

这些模块共同构建了一个多层次、功能完备的恶意行为链，能够实现远程控制、剪贴板内容篡改、浏览器Cookie及其他敏感信息窃取等破坏性操作，对用户系统安全构成严重威胁。

火绒安全警告称，尽管此类攻击看似主要针对开发者，但其潜在影响却远不止于此，甚至可能波及每一位普通用户。

这种投毒攻击方式不仅隐蔽性强，还可能通过软件供应链传播到更广泛的用户群体中。