夜雨聆风当我们在Google搜索常用软件时,通常会直接点击第一个结果,因为官方网站往往排名靠前。如果网站设计专业、链接指向真实GitHub仓库,大多数用户会本能地信任它。这正是攻击者想要的结果。
安全研究机构最近发现了一种新型攻击方式。攻击者搭建了精心仿制的开源项目网站,包括安全研究人员常用的逆向工具如Ghidra和dnSpy。这些网站看起来非常正规,有时甚至引用了真实资源。但骗局不在页面内容,而在用户点击后发生的事。
这种攻击的核心技巧在于下载按钮看起来完全正常。页面保留了真实GitHub链接,用户悬停时看到的仍然是合法地址。但同时,页面加载的CloudFront脚本会拦截第一次用户交互,将其交给一个流量分发系统。该系统设置了严格的筛选条件:首次访问、点击确认、反机器人逻辑、VPN过滤和频率限制。只有通过层层筛选的用户,才会被导向真正的恶意软件下载。
用户点击下载后,浏览器会被重定向到一个中间跳转域名。研究人员观察到大量不同的跳转链变种,从同一IP重复进入往往会导致下载无害软件,但有些路径最终导向恶意软件。具体走哪条路径受多种因素影响:用户所在国家、浏览器类型、VPN使用情况、客户端指纹等。这意味着攻击者可以精确定位他们想要的目标。
通过这个基础设施,研究人员识别出了多个恶意软件家族。其中包括RemusStealer窃密软件,能够从超过20种浏览器和数百个扩展中窃取数据;AnimateClipper剪贴板劫持器,可以劫持20多个区块链生态系统的加密货币交易;以及一个名为SessionGate的多阶段加载框架。
SessionGate的攻击方式尤其值得关注。这个未知的多阶段恶意软件结合了前端的严格筛选和样本自身的多重验证。每个落地页为每个客户端会话生成唯一的载荷下载URL,绑定到浏览器和IP地址。载荷设计为一次性执行,其中的模块被加密,解密密钥由C2服务器基于特定会话唯一提供。这意味着即使分析师捕获了样本,也无法轻易解密和分析最终的恶意载荷。
这个攻击链条的设计相当精密。首先是搜索引擎排名劫持,让假网站出现在搜索结果前列。然后是假网站上的点击劫持,将用户点击重定向到流量分发系统。接着是多层筛选,只让符合条件的用户继续往下走。之后是多阶段载荷投递,每个阶段都有验证机制。最后是内存执行,避免在磁盘上留下痕迹。
这场攻击最值得警惕的地方在于:从用户角度看,路径简单得具有欺骗性——Google排名第一的结果、精致的项目网站、点击下载。但在背后,每一次点击都变成了一条受害者从未同意也无法审计的跳转链。攻击者不需要自己写恶意软件,只需搭建假网站、购买搜索引擎广告位、接入流量分发平台,就能成为恶意软件分发链条中的一环。这种模块化的攻击方式,正在成为2026年网络安全领域的新常态。对于普通用户而言,即使搜索结果排名第一、网站看起来再正规,也不要盲目点击下载。在运行任何从网上下载的安装程序之前,先确认来源的真实性,已经成为每个人都需要养成的习惯。
