文章总结: 安全研究员在分析shai-hulud蠕虫时发现其Python版本包含一个针对以色列或伊朗IP的彩蛋:以1/6概率触发全盘文件删除并播放最大音量警报,该设计体现了恶意软件作者的行为艺术与心理嘲讽,同时暴露了开源供应链攻击中隐藏的不可控风险。 综合评分: 88 文章分类: 恶意软件,漏洞分析,安全意识,社会工程学,安全工具
恶意软件里的”黑色幽默”:Shai-Hulud蠕虫藏着以色列/伊朗专属俄罗斯轮盘
原创
Night Walker Night Walker
黑白之道
2026年5月18日 08:31 江西
在小说阅读器读本章
去阅读
导语:安全分析师在分析Shai-Hulud蠕虫代码时,发现了一个令人哭笑不得的彩蛋:Python版本会检测目标机器国籍——以色列或伊朗?来玩把俄罗斯轮盘吧,1/6概率删你全盘文件,还附赠最大音量警报。
图片版权 华盟网
事情是这样的
Shai-Hulud,一个开源供应链攻击蠕虫,由TeamPCP发布,本来是用于攻击竞赛的合法渗透测试工具(对,你没看错,攻击竞赛)。
它有两个版本:Python版和NPM版。
主要功能:窃取凭据、GitHub token、加密货币钱包。标准的”小偷”蠕虫,不稀奇。
但是——
安全研究员跑了一遍代码,发现了一个彩蛋。
俄罗斯轮盘彩蛋
代码逻辑如下:
1. 检测目标机器地理位置/IP归属地
2. 如果目标在以色列或伊朗境内:
a. 随机生成1-6之间的数字
b. 如果数字 == 2:
- 以最大音量播放"可怕的警报声"
- 删除机器上所有文件
c. 如果数字 != 2:什么都不干
翻译成人话:1/6的概率,你的电脑会被删库跑路,还附赠全楼都能听见的警报。
笑点分析
笑点一:1/6的概率,认真的吗?
勒索软件作者:”我下定决心要搞你!……等下,让我先掷个骰子。”
这不是APT,这是掷骰子APT。
笑点二:警报声
不是偷偷摸摸的黑客行为,不是静默删库,是——最大音量播放警报声。
这是黑客还是报信员?
“喂您好,您已被攻击,文件正在被删除,请注意查收。”
笑点三:政治彩蛋,但很儿戏
恶意软件作者对以色列/伊朗有情绪,但实现方式是俄罗斯轮盘 + 警报声。
国家级APT不会这么干。这是脚本小子的行为艺术。
笑点四:删库跑路
不是偷数据卖钱,不是勒索,是直接删。
删的还是自己人——如果蠕虫作者是伊朗或以色列人,那他这代码就是冲着删自己同胞去的。
技术细节
| 项目 | 说明 | | — | — | | 触发条件 | IP归属地为以色列或伊朗 | | 触发概率 | 1/6(约16.67%) | | 触发结果 | 警报 + 全盘文件删除 | | 未触发结果 | 继续正常窃取数据 | | 版本 | Python版本(具体位置待查) |
问题来了: 警报声是系统蜂鸣还是播放音频文件?如果是音频文件,那文件藏哪儿?
恶意软件作者的心理学
为什么有人在攻击代码里”整活”?
- 枯燥的恶意代码也需要乐趣:写窃取密码的代码太无聊了,加个彩蛋娱乐一下自己
- 嘲讽拉满:不是要毁你数据就毁你数据,要先”公平”地玩个游戏
- 署名式彩蛋:类似电影导演在片尾加彩蛋,这是开发者的”签名”
当然,从安全研究角度,这个彩蛋让我们更容易发现蠕虫的恶意意图——
“等等,这个代码在干什么?为什么有随机数和警报?”
哦,原来是彩蛋。
防御建议
- 网络隔离:别让不明来源的蠕虫进入你的网络
- 代码审计:即使是”渗透测试工具”,也要审计后再用
- 行为监控:发现有机器在播放奇怪声音+删文件,立刻断网
- 备份:老生常谈,但真的管用
彩蛋背后的思考
如果安全研究员没发现这个彩蛋,这个蠕虫传开了,被害者会怎么反应?
“奇怪,我的电脑刚才是不是报警了?”
“好像还删了点什么?”
“算了,应该没事。”
有时候,黑客的”幽默感”,就是受害者最后的救命稻草。
版权声明:本文由华盟网原创发布,转载需授权。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:黑白之道 Night Walker Night Walker《恶意软件里的”黑色幽默”:Shai-Hulud蠕虫藏着以色列/伊朗专属俄罗斯轮盘》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论