当前位置：首页 > article >正文

SourceForge 被滥用：假冒微软 Office 插件暗藏加密货币矿工与剪贴板劫持器

article 2026/4/22 2:17:02

据卡巴斯基实验室Kaspersky披露威胁行为者正滥用知名开源软件托管平台SourceForge分发伪装成微软 Office 插件的恶意软件。这些插件会在受害者电脑上悄然安装加密货币矿工和剪贴板劫持工具ClipBanker同时进行挖矿和窃取加密货币。What happens to your computer when you download pirated software | Kaspersky official blogSourceForge 项目页面左与 GitHub 合法项目对比右图片来源Kaspersky 相关报道SourceForge合法平台为何被利用SourceForge.net是一个广受欢迎的软件托管平台提供版本控制、错误跟踪、论坛和维基等功能在开源社区中享有盛誉。虽然其开放的项目提交机制为恶意行为提供了空间但通过该平台传播恶意软件的情况其实极为罕见。此次攻击是较为独特的案例。卡巴斯基研究发现这一轮攻击已影响超过4604 台系统其中大部分位于俄罗斯。恶意项目虽已被 SourceForge 下架但搜索引擎已收录相关页面仍会吸引搜索“Office 插件”或类似关键词的用户访问。攻击如何伪装从搜索结果到恶意下载当用户在 Google 等搜索引擎中查询 Office 插件时结果常指向officepackage.sourceforge.io由 SourceForge 为项目所有者提供的独立 Web 托管功能支持。该页面精心模仿合法开发者工具展示“Office 插件”和醒目的“下载”按钮。Cryptocurrency Miner and Clipper Malware Spread via SourceForge Cracked Software Listings恶意伪装页面officepackage.sourceforge.io页面以俄语界面呈现大量微软 Office 下载链接诱导用户点击。点击任意按钮后用户会下载一个包含密码保护归档文件installer.zip和密码提示文本的 ZIP 包。解压后是一个体积膨胀至约700MB的 MSI 安装程序installer.msi这种“大体积”设计旨在绕过反病毒软件的扫描。A miner and the ClipBanker Trojan being distributed via SourceForge | Securelist诱导下载页面示例红色箭头指向伪造的下载链接完整的感染链多阶段恶意载荷MSI 文件运行后会释放 UnRAR.exe 和 RAR 归档随后执行 Visual Basic 脚本从 GitHub 下载批处理脚本confvk.bat。该脚本会检查运行环境是否为沙箱和活跃的反病毒产品若通过检测则继续下载另一个批处理脚本confvz.bat并解压 RAR 文件。批处理脚本通过修改注册表和添加 Windows 服务实现持久化控制。最终释放的核心文件包括AutoIT 解释器Input.exeNetcat 反向 Shell 工具ShellExperienceHost.exe两个 DLL 有效载荷Icon.dll 和 Kape.dllRaspberry Robin worm part of larger ecosystem facilitating pre-ransomware activity | Microsoft Security Blog类似多阶段恶意软件感染链示意图供参考实际攻击流程类似Icon.dll注入加密货币矿工窃取 CPU/GPU 算力为攻击者挖矿Kape.dll则注入剪贴板劫持器ClipBanker监控用户复制的加密货币钱包地址并自动替换为攻击者控制的地址。此外攻击者通过 Telegram API 接收受感染系统的详细信息并可通过同一通道推送额外恶意载荷。What happens to your computer when you download pirated software | Kaspersky official blog恶意项目与合法 GitHub 项目并排对比再次强调伪装手法安全建议这次事件再次证明攻击者善于利用合法平台的信任背书来获取虚假合法性并绕过防护。用户防护建议优先从官方出版社或可信来源如 Microsoft 官网、GitHub 官方仓库下载软件。下载前使用最新版反病毒软件如 Kaspersky进行全面扫描。警惕搜索引擎结果中的不明下载链接尤其是伪装成“破解版”或“免费插件”的内容。避免下载体积异常大或要求输入密码的归档文件。SourceForge 已迅速响应并移除相关恶意项目但搜索引擎缓存仍需时间清除。保持警惕是最佳防护。

SourceForge 被滥用：假冒微软 Office 插件暗藏加密货币矿工与剪贴板劫持器

相关文章：

SourceForge 被滥用：假冒微软 Office 插件暗藏加密货币矿工与剪贴板劫持器

军事与社会学属于复杂系统，一般很难事先准确预测，常常是事后分析

如何构造基于人机环境系统智能中“六三”框架的计算+算计系统

PAT刷题别硬刚！用C语言搞定‘写出这个数’，我总结了三个避坑点

告别手动改密码！Windows LAPS实战：在AD域环境里自动管理本地管理员账号

反序列化漏洞详解（第一期）：从基础认知到原理拆解

FastAPI与Evidently AI实现机器学习模型监控实战

RT-Thread Studio保姆级配置指南：以STM32F407的PWM和I2C驱动为例，避开那些新手必踩的坑

蛋白质二级结构数据集分析与应用：近40万条高质量标注数据，支持结构预测、药物设计与生物信息学研究，包含X射线晶体学实验参数与高分辨率结构信息

89张电力供应线路黑匣子目标检测数据集-包含完整原始图像与YOLO格式标注-适用于电力系统运维自动化与智能电网故障预警

从图像拼接实战出发：手把手教你用OpenCV暴力匹配+Python搞定多图自动对齐

避开这些坑！S7-1200通过RS485读写RFID标签数据时的5个常见故障与解决方案

别再轮询了！STM32CubeIDE实战：用DMA+ADC中断模式高效采集多路传感器数据（附避坑指南）

STM32F4时钟配置避坑指南：从HAL库的HAL_RCC_OscConfig到180MHz超频实战

工业现场Docker容器启动失败率骤降83.6%：27个被忽略的udev规则、cgroup v2与RT kernel协同配置

别再怕JESD204B了！手把手带你用FPGA（Vivado 2023.1）调试ADC（AD9680）高速数据接口

避坑指南：解决Smart PLC与WinCC OPC通讯中‘XDB导入失败’和‘DB块变量无法添加’的常见问题

5 大渗透靶场全攻略：DVWA、Pikachu、SQLi-Labs 一站式教程

Navicat连ClickHouse出现中文乱码怎么办_字符集编码调整

OFD转PDF全攻略：4步解决文档兼容性难题

WarcraftHelper：让经典魔兽争霸3在现代电脑上焕发新生的终极优化方案

避坑指南：统信UOS家庭版1030安装Seurat时，你可能会遇到的3个‘拦路虎’及解决办法

别再直接用TA-Lib了！手把手教你用Python复刻通达信/同花顺的MACD和KDJ指标

告别词库迁移烦恼：深蓝词库转换让你轻松在30+输入法间自由切换

浙江大学毕业论文LaTeX模板：学术写作的终极效率工具

OOD检测指标AUROC/FPR95看不懂？一份给工程师的“人话”解读与PyTorch实现指南

保姆级教程：用PyQtGraph和Python打造你的专属股票分析桌面应用（附完整源码）

别再被钓鱼邮件骗了！手把手教你用Python+CNN从Kaggle数据集开始，搭建自己的检测模型

AI驱动的虚实融合技术：VR/AR核心突破与应用

从电机控制到光伏逆变器：Clark/Park变换在单相并网系统里的实战配置指南