小心假的開發工具下載頁面：駭客如何利用你對開源軟體的信任，一鍵劫持你的電腦

在搜尋引擎上點擊下載 Ghidra、SpiderFoot 等廣受信賴的開源資安工具，已變成一項高風險行為。資安研究機構 Check Point 的報告揭露了一場精密且大規模的惡意軟體散布活動，精準地利用了這份信任。這項於 2026 年 6 月 3 日發布的調查報告指出，攻擊者建立了一個由專業設計的仿冒網站組成的網絡，攔截用戶流量，並將其導入一個層層把關的系統，選擇性地投放惡意酬載 。

這並非簡單的網路釣魚。該攻擊結合了搜尋引擎操縱、透過 Amazon CloudFront 託管 JavaScript 進行的點擊劫持，以及多層次的反分析流量導向系統（TDS, Traffic Distribution System），以躲避偵測並只鎖定最有價值的受害者。最終目標主要是金錢利益。Check Point 評估，這項行動本質上是一場流量獲取與變現的計畫，同時也扮演了其他惡意軟體散布者的發送渠道 。

攻擊鏈解析：從搜尋點擊到惡意軟體酬載

感染始於用戶搜尋熱門的開源工具。攻擊者部署了大量假冒的網站，這些網站仿冒如 Ghidra、dnSpy 和 SpiderFoot 等軟體的合法專案頁面。這些網站設計精良，經常引用真實的上游資源，並在搜尋結果中排名居高不下，一眼看上去就像是正牌的專案入口網站 。

技術上的欺騙在使用者互動時觸發。當受害者在這些網站上點擊「下載」按鈕時，一個由 CloudFront 託管的 JavaScript 層會將第一次點擊轉換為重新導向。這就將用戶劫持到攻擊活動的流量導向系統基礎設施中 。

把關式流量導向系統：篩選高價值目標

這個流量導向系統不僅是單純的重新導向，更像是一個精密的守門人。Check Point 的分析揭露，它會使用多層次的反分析與過濾機制，來區分真實受害者、資安研究人員、沙箱環境與自動化爬蟲。只有通過這些檢查的用戶，才會被引導至最終的惡意軟體酬載 。這種選擇性投放讓整個攻擊行動更難被全面掌握，也提高了每次成功感染對操作者的價值。為了進一步躲避偵測，該系統還使用了一次性工作階段金鑰和一次性金鑰釋放等技術 。