文章总结： 本文讲述了CyberArk研究员利用StealC木马后台的存储型XSS漏洞及缺失HttpOnly标记的缺陷，反向窃取黑客Cookie并追踪定位到乌克兰攻击者的实战案例。文章揭示了黑产在开发中忽视基础安全输入验证的通病，强调了HttpOnly等基础防护的关键性，提醒安全从业者勿神话对手并需扎实做好代码安全建设。 综合评分： 84 文章分类： 恶意软件,漏洞分析,实战经验,WEB安全,威胁情报

StealC木马源码泄露后续：安全研究员教你如何通过控制台漏洞反向溯源

原创

Hankzheng Hankzheng

技术修道场

2026年1月22日 09:49 广东

大家好，在这个行业摸爬滚打十几年，我看过无数次企业因为代码漏洞被黑客勒索的惨案。但今天，我要给大伙儿讲一个“反杀”的故事——一个专偷别人数据的黑客团伙，因为自己写的代码太烂，被安全研究员反“扒”的了。

就在上周，CyberArk 的研究团队披露了一个让人哭笑不得的发现：那个在黑产圈风头正劲的 StealC 窃密木马，其后台管理面板竟然存在一个低级的 XSS漏洞。

结果就是：这帮原本想偷全世界 Cookie 的黑客，自己的 Cookie 居然被研究员给“偷”了。

这剧情有点魔幻。今天我们就来硬核拆解一下，这场精彩的“黑吃黑”背后，到底涉及了哪些技术细节。

01 那个“看起来”很牛的 StealC

先给不熟悉黑产的朋友科普一下背景。

StealC 是 2023 年初冒出来的一种 MaaS（恶意软件即服务）。它的商业模式非常成熟：开发团队维护核心代码和后台面板，然后把软件卖给下游的“分销商”。

这些分销商最常用的手段就是利用他们在 YouTube 上发布视频，打着“Adobe 全家桶破解版”、“某某游戏外挂”的幌子，诱导小白用户下载。一旦中招，受害者的浏览器 Cookie、保存的密码、信用卡信息就会瞬间被打包传回 C2 服务器。

听起来很可怕对吧？但谁能想到，这个庞大的黑产帝国，毁在了一行前端代码上。

02 致命漏洞：XSS + 消失的 HttpOnly

CyberArk 的研究员 Ari Novick 在分析泄露的 StealC 后台源码时，发现了一个存储型 XSS 漏洞。

技术原理拆解：

当黑客登录他们的管理面板查看受害者上传的数据时，面板会直接从数据库加载数据并在浏览器中渲染。问题在于，StealC 的开发者完全没有对输入数据进行过滤或转义。

这意味着，研究员只要伪装成“受害者”，向服务器上传一段恶意的 JavaScript 代码，当黑客在后台查看这条记录时，代码就会在黑客的浏览器里自动执行。

敲黑板： 作为技术人员，大家都知道防御 XSS 窃取 Cookie 的最基础手段是什么？ 对，就是给敏感 Cookie 加上 HttpOnly 标记。

HttpOnly 是一个 Set-Cookie HTTP 响应头属性。如果 Cookie 被标记为 HttpOnly，那么浏览器端的脚本（如 document.cookie）是无法读取该 Cookie 的。这能有效防止 XSS 攻击窃取会话 ID。

讽刺的是，StealC 这群靠“偷 Cookie”为生的黑客，竟然没有给他们自己的会话 Cookie 设置 HttpOnly！

研究员 Novick 忍不住吐槽：“这就好比一个职业惯偷，出门从来不锁自己家的门。”

利用这个漏洞，研究员干了三件事：

• 指纹识别：

  获取黑客电脑的硬件信息、屏幕分辨率、时区等。

• 会话劫持：

  直接偷走了黑客登录后台的 Cookie。

• 持续监控：

  甚至能“旁路”看到黑客在后台的一举一动。

03 溯源实战：抓获 “YouTubeTA”

有了这个 XSS 漏洞，研究员们盯上了一个代号为 “YouTubeTA” (YouTube Threat Actor) 的大客户。

这家伙是个狠人，手里掌握着超过 30 万个被盗密码和 3000 多万条 Cookie。

但是，技术再好，也怕 OpSec（操作安全） 掉链子。

通过 XSS 植入的脚本，研究员首先对该黑客进行了画像：使用的是一台搭载 Apple M3 芯片 的电脑，系统语言设置为英语和俄语。

但这还不足以定位真身。真正的突破口发生在 2025 年 7 月中旬。

那天，这位黑客可能刚睡醒，或者急着处理一笔订单，他忘记挂 VPN 就直接登录了 StealC 的后台面板。

XSS 脚本瞬间捕捉到了他的真实 IP 地址。经过查询，这个 IP 属于乌克兰的一家名为 TRK Cable TV 的服务商。结合之前的语言设置，画像非常清晰了：这是一个在东欧地区活动、讲俄语的“独狼”黑客。

04 思考：攻防的本质是不对称的

看完这个报告，我在想，为什么专门搞黑产的人也会犯这么低级的错误？

其实这揭示了软件工程的一个普遍规律：功能跑通 ≠ 安全。

StealC 的开发者为了快速上线、快速敛财，把精力都花在了“怎么过杀软”、“怎么优化传输速度”上，却忽视了对自己后台代码的质量控制。说白了，他们也是个草台班子。

对于我们做 IT 的人来说，这有两个重要的启示：

1. 不要神话对手：

   你的对手（即便是黑客）也是人，也会写 Bug，也会犯错。主动防御（Active Defense）有时候能通过对手的失误取得奇效。

2. 基础安全必须做：

   输入验证、HttpOnly、CSP（内容安全策略）……这些我们在开发文档里看腻了的概念，关键时刻真的能保命。

最后，我想对那位写出 XSS 漏洞的黑产开发者说一句：兄弟，出来混，迟早是要还的。下次写代码，记得 htmlspecialchars() 一下。

今日互动

你在工作中遇到过最离谱的“灯下黑”安全漏洞是什么？ 欢迎在评论区留言分享，让大家避避坑！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng Hankzheng《StealC木马源码泄露后续：安全研究员教你如何通过控制台漏洞反向溯源》