警惕！GitHub 热门开源工具竟成“病毒搬运工”，Check Point 揭露新型恶意软件分发网络

下载像 Ghidra 或 SpiderFoot 这样广受信赖的开源安全工具，如今已变成一项高风险操作。网络安全研究人员在 Check Point 记录了一场精密且规模庞大的恶意软件分发行动，该行动正是利用了这种信任。根据 2026 年 6 月 3 日发布的一份报告，该行动依靠一个由设计专业的山寨网站组成的网络，拦截用户流量，并将其推入一个带有严格筛选机制的系统中，以选择性地投递恶意负载 。

这并非一次简单的钓鱼攻击。这场行动结合了搜索引擎操纵、通过 Amazon CloudFront 托管的 JavaScript 实现的点击劫持，以及一个多层反分析的“流量分发系统”（Traffic Distribution System, TDS），以此逃避检测，并精准锁定最具价值的受害者。其最终目的是盈利：Check Point 评估认为，该行动根本上是流量获取和变现计划，同时也是一个面向其他恶意软件分发者的“分销管道” 。

攻击链揭秘：从一次搜索点击到恶意软件负载

感染始于用户搜索一个受欢迎的开源工具。攻击者已经部署了大量山寨网站，这些网站冒充 Ghidra、dnSpy 和 SpiderFoot 等软件的合法项目页面。这些网站设计精良，常常引用真实的开源资源，并在搜索结果中排名靠前，一眼看去，俨然就是正规的项目门户 。

技术欺骗在用户交互时触发。当受害者在这些网站上点击“下载”按钮时，一个 CloudFront 托管的 JavaScript 层会将首次点击转化为重定向。这把用户“劫持”进了该行动的 TDS 基础设施中 。

带筛选的流量分发系统：过滤高价值目标

TDS 就像一个复杂的“看门人”，而不仅仅是一个重定向工具。Check Point 的分析揭示，它会应用多层反分析和过滤机制，将真实受害者与安全研究人员、沙箱环境和自动爬虫程序区分开。只有通过所有这些检查的用户，才会被路由到最终的恶意软件负载 。这种选择性的投递方式，使得勾勒该行动的完整图景变得更为困难，也增加了每次成功感染的对运营者的价值。为了进一步逃避检测，该系统还使用了诸如按会话生成密钥和一次性密钥释放等技术 。