AhnLab 安全情报中心 (ASEC) 发现一项复杂的活动，其中涉及通过旨在模仿合法软件项目的 GitHub 存储库大规模传播 SmartLoader 恶意软件。

这些存储库针对的是搜索流行非法内容（例如游戏作弊、软件破解和自动化工具）的用户，当使用“游戏黑客”或“软件破解”等关键词时，它们就会出现在 Google 和 GitHub 等平台的搜索结果顶部。

每个存储库都包含一个精美的 README 文件，其中包含项目概述、功能列表和安装指南，乍一看它们与真正的开源计划没有区别。

欺骗性的GitHub Repos

用户被诱骗下载含有恶意软件的压缩文件，这些文件通常伪装成《冒险岛》、《我的世界》或《使命召唤》等游戏的工具，或 Instagram 助推器和 VPN 破解等实用程序。

这种策略利用了人们对 GitHub 生态系统的信任，威胁行为者在该生态系统中创建账户来托管这些欺骗性存储库，并使用诸如 hxxps://github[.]com/[Threat Actor Account]
/Maple-Story-Menu/releases/download/v3.2.0/Maple.Story.Menu.v3.2.0.zip 之类的 URL将恶意负载嵌入到发布下载中。

压缩文件包含四个关键文件：合法的 Lua 加载器（java.exe，实际上是 luajit.exe）、恶意批处理脚本（Launcher.cmd）、运行时解释器（lua51.dll）和混淆的 Lua 脚本（module.class）。

执行 Launcher.cmd 后，脚本通过 luajit.exe 加载，激活 SmartLoader，通过将文件复制到 %AppData%\ODE3 并在“
SecurityHealthService_ODE3”下安排任务来确保持久性。

有效载荷交付

一旦激活，SmartLoader 会将受感染系统的屏幕截图捕获为 BMP 文件并收集编码的系统信息，然后将其传输到地址为 hxxp://89.169.13[.]
215/api/YTAsODYsODIsOWQsYTEsODgsOTasOTUsNjUsN2Qs 的命令和控制 (C2) 服务器。

数据交换采用 Base64 编码和字节操作，密钥隐藏在混淆的 Lua 脚本中，可从动态内存中解密。

C2 以 JSON 格式响应，包括绕过防御或启用持久性等行为的“加载器”配置，以及列出要获取和执行的有效载荷的“任务”。

分析发现了三个有效载荷：

一个额外的混淆的 Lua 脚本（adobe.lua），镜像 module.class 的功能，将持久性注册为“WindowsErrorRecovery_ODE4”，并与 hxxp://95.164.53[.]
26/api/YTAsODYsODIsOWQsYTEsODgsOTAsOTUsNjUsN2Qs 的另一个 C2 进行通信；

两个被识别为 Rhadamanthys 信息窃取程序的 shellcode 变体（_x64.bin 和 _x86.bin），分别在 64 位和 32 位环境中运行。

Rhadamanthys 注入合法的 Windows 进程，例如 openwith.exe、dialer.exe、dllhost.exe 和 rundll32.exe，泄露与电子邮件、FTP 和网上银行相关的敏感数据。

执行后，任务 ID 和受害者国家代码被中继到 C2 端点，如 hxxp://89.169.13[.]
215/tasks/YTAsODYsODIsOWQsYTEsODgsOTAsOTUsNjUsN2Qs。

SmartLoader 作为 Rhadamanthys、Redline 和 Lumma Stealer 等信息窃取程序的下载器，凸显了其在恶意软件生态系统中的多功能性。

为了降低风险，用户应该通过检查作者可信度、提交历史和来源合法性来验证存储库的真实性，同时仅从官方渠道获取软件。

即使有详细记录的存储库也可能是恶意的，这凸显了对强大的端点检测和响应工具的需求。

技术报告：

https://asec.ahnlab.com/en/89551/