文章总结： TrendMicro发现攻击者利用超100个GitHub仓库投递BoryptGrab窃密木马，通过伪装免费工具页面和SEO优化诱导用户下载。该木马窃取浏览器数据、加密货币钱包及系统信息，并加载后门建立反向隧道。文章警示GitHub平台被滥用为分发外壳，建议用户警惕非官方渠道下载并加强终端监控与EDR防护。 综合评分： 85 文章分类： 恶意软件,威胁情报,社会工程学,终端安全

超 100 个 GitHub 仓库被用于投递 BoryptGrab 窃密木马

NaNaBot NaNaBot

0x33 SEC

2026年3月10日 08:02 日本

超 100 个 GitHub 仓库被用于投递 BoryptGrab 窃密木马

近日，Security Affairs 报道称，Trend Micro 研究人员发现一场大规模恶意软件分发活动：攻击者借助 100 多个 GitHub 仓库传播名为 BoryptGrab 的信息窃取木马。该木马主要面向普通用户和下载“免费工具”的人群，目标包括 浏览器账号数据、加密货币钱包、系统信息以及本地常见文件。

这类攻击并不依赖高复杂度漏洞，而是利用了一个很现实的场景：用户在搜索软件下载、外挂、破解工具或实用程序时，误入伪装成正常开源项目的 GitHub 页面。

转载/编译来源：

• 原文：Security Affairs
• 标题：Massive GitHub malware operation spreads BoryptGrab stealer
• 原文链接：https://securityaffairs.com/189110/malware/massive-github-malware-operation-spreads-boryptgrab-stealer.html[1]
• 研究报告：Trend Micro

事件概览

根据 Trend Micro 的分析，攻击者将恶意压缩包伪装成常见软件工具、实用程序甚至游戏作弊工具，并通过大量公开 GitHub 仓库进行分发。

这些仓库的 README 会堆入大量搜索引擎关键词，以便在搜索结果中获得更高排名，从而让恶意页面看起来更像“正常项目”或“工具下载页”。用户一旦进入页面并点击下载，就可能落入后续恶意跳转链，最终拿到包含木马的 ZIP 文件。

简单来说，这次攻击的核心特点是：

• 利用 GitHub 作为分发外壳
• 伪装成正常软件下载页面
• 借助 SEO 提升曝光
• 通过压缩包投递窃密木马

攻击者是如何传播的？

攻击者先创建大量公开 GitHub 仓库，并将其包装成“免费软件工具”“破解版本”“增强版实用程序”等页面。之后，再通过 GitHub Pages 或伪装页面引导用户下载 ZIP 文件。

图：恶意仓库与相关页面示意（来源：Trend Micro / Security Affairs）

其中一个案例会伪装成 Voicemod Pro 的下载页面，整体外观与普通项目目录非常接近，降低了用户警惕性。

图：伪装成正常工具下载页的恶意页面（来源：Trend Micro / Security Affairs）

Trend Micro 还提到，这些页面内部存在俄语注释，部分基础设施和样本痕迹也指向 俄语背景攻击者，但现阶段更准确的说法仍然是“具备俄罗斯关联特征”。

感染链是怎样展开的？

用户下载并解压 ZIP 文件后，恶意程序会通过不同方式启动感染链。

在一条常见路径中，攻击者会利用可执行文件加载恶意的 libcurl.dll，再进一步解密并释放隐藏的启动器。该启动器随后下载 BoryptGrab 主体，部分情况下还会继续加载其他恶意载荷。

图：恶意样本加载与投递链示意（来源：Trend Micro / Security Affairs）

研究人员观察到，除 BoryptGrab 本体外，部分样本还会额外投递：

• Vidar 变种
• 名为 TunnesshClient 的 PyInstaller 后门
• 名为 HeaconLoad 的 Go 语言下载器

其中，TunnesshClient 的作用尤其值得注意。它会建立 反向 SSH 隧道，让攻击者可以远程下发命令、传输文件，甚至将受害主机当作代理节点使用。这意味着部分受害机器不仅会被窃取数据，还可能被进一步纳入攻击基础设施中。

BoryptGrab 主要窃取什么？

BoryptGrab 是一款以 信息窃取 为核心目标的木马。根据报道，它重点收集以下几类数据：

1. 浏览器数据

它会从多个主流浏览器中提取敏感信息，包括：

• Chrome
• Edge
• Firefox
• Opera
• Brave
• Vivaldi
• Yandex

目标数据主要包括：

• 保存的账号密码
• 浏览器存储信息
• 相关登录数据

Trend Micro 表示，该恶意软件还利用了一些公开工具思路，尝试绕过 Chromium 体系浏览器的保护机制，以便解密本地保存的敏感凭据。

2. 加密货币钱包

BoryptGrab 会扫描并窃取多种桌面钱包相关数据，例如：

• Exodus
• Electrum
• Ledger Live
• Atomic
• Binance
• Wasabi
• Trezor

这说明其攻击目标并不局限于普通账号凭据，也明显关注 加密资产用户。

3. 本地文件与通信数据

该木马还包含“文件抓取”能力，会从常见目录中收集指定扩展名的文件。同时，它也会提取：

• Telegram 相关文件
• 浏览器密码
• 新版本中的 Discord Token

4. 系统信息与屏幕截图

除了账号和文件，它还会收集主机基础信息，并截取屏幕画面，为攻击者后续分析受害者环境提供辅助数据。

它为什么更难分析？

BoryptGrab 在执行前会进行一定的 反分析检测。例如：

• 检查是否运行在虚拟机环境中
• 读取注册表和相关文件识别沙箱/分析环境
• 对比当前进程名，判断是否存在安全分析工具
• 尝试以更高权限运行

这意味着，在恶意样本分析、沙箱投递检测以及自动化研判场景中，部分样本可能会表现出“环境感知”能力，从而规避部分基础检测。

这次事件说明了什么？

这次 BoryptGrab 传播事件有两个非常典型的信号。

第一，GitHub 正持续被滥用于恶意分发外壳

攻击者越来越喜欢把 GitHub、GitHub Pages 这类平台当作“可信外衣”。原因很简单：

• 平台本身知名度高
• 链接看起来更容易让人放松警惕
• 仓库、README、页面都很适合做搜索引擎投毒

对普通用户来说，“在 GitHub 上”并不等于“安全”。

第二，下载型社工攻击依然非常有效

这次攻击并没有靠高深漏洞，而是靠“伪装成你想找的软件”。这种方式门槛低、转化率高，对急于找工具、破解版本或外挂的人尤其有效。

风险提示

对于企业和个人用户，这里有几条非常实际的建议：

• 不要因为页面在 GitHub 上，就默认可信
• 下载工具时优先选择 官方网站、官方发布页或可信发行渠道
• 对来历不明的 ZIP、EXE、DLL 保持高度警惕
• 关注浏览器保存密码、Telegram、本地钱包等高价值数据的暴露风险
• 对开发、测试和办公终端加强 EDR、下载审计、行为监控
• 对“实用工具”“破解版”“外挂”类下载需求进行重点拦截

简评

从安全研究角度看，这并不是一次特别“新”的攻击思路，但它非常典型，也非常现实。

攻击者没有发明新的传播逻辑，而是把 GitHub、SEO、伪装下载页、压缩包投递、信息窃取 这几件事组合在一起，形成了一条稳定且高效的攻击链。对防守方来说，真正困难的地方不在于理解技术原理，而在于：这条链路太贴近日常下载行为了。

对用户而言，最重要的一点仍然是： 不要把“开源平台链接”误认为“安全背书”。

转载说明

本文根据 Security Affairs 对 Trend Micro 研究结果的报道整理并翻译，内容为中文编译版本，转载请注明原始来源与本文整理出处。

引用链接

[1]https://securityaffairs.com/189110/malware/massive-github-malware-operation-spreads-boryptgrab-stealer.htmlNa

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0x33 SEC NaNaBot NaNaBot《超 100 个 GitHub 仓库被用于投递 BoryptGrab 窃密木马》