安全机构Arctic Wolf近日披露,一个黑客组织自6月下旬起在代码托管平台GitHub上创建了数百个仿冒知名软件品牌的仓库,通过植入恶意链接传播新型信息窃取木马BoryptGrab。该组织利用伪造的README文档和下载页面,诱导用户下载携带木马的程序文件,进而窃取设备中的敏感数据。
据技术分析,这些虚假仓库的README文件中包含精心设计的钓鱼链接,用户点击后会跳转至仿冒的"安全下载"页面。一旦运行下载的程序,BoryptGrab木马便会在后台秘密执行,窃取浏览器存储的账号密码、cookie数据,以及加密货币钱包私钥等关键信息。该木马特别针对Telegram、Discord等即时通讯工具和Steam游戏平台实施数据收集。
进一步研究发现,BoryptGrab木马集成11个专用窃取模块,具备多重数据窃取能力。除常规的账号密码窃取外,还能自动抓取用户桌面和文档目录下的文件列表,实施屏幕截图操作,并提取Windows系统凭证管理器中存储的所有认证信息。所有窃取的数据会通过加密通道传输至黑客控制的远程服务器。











