今天本该是个寻常的下午。
更新博客主题时,发现了两个 bug 于是随手提了个 Issue,很快收到邮件提醒:“新回复”。心下一喜——难道是哪位开发者恰好在线,顺手就修了?点开一看,头像是经典的 ins 风男模脸,账号三无。指尖还没松开鼠标,警铃已经悄悄在脑内响了半拍。
回复内容倒也“合理”:
Try this version instead.
f97ca3563aef.zip
还附了个压缩包链接。
我犹豫了一下。心想:隔离区里预览一眼,应该不至于中招吧?
下载进度条一跳出来,我就知道不对劲了。
2 MB?
mizuki 的发行版本常规体积是 50~80 MB;clean 版也该在接近 1 MB 左右。2 MB 卡在中间,不尴不尬,像一句蹩脚的台词——连伪装都懒得认真。更何况,那个 Issue 只是个小瑕疵,复现毫无困难,我自认为描述的也够清楚,哪用得着“辛苦用户测试”?
我停下动作,用 7-Zip 预览看了一眼
——果然有诈,只有两个文件,一个 .exe 和一个 .dll!
……一个静态博客主题模板,何德何能,需要 .exe 和 .dll?
没多想立刻粉碎文件,重置隔离区。搜了搜这类钓鱼套路早已泛滥,有点类似“请给我的战队投票”:
伪装成 Issue 回复、PR、甚至自动 CI 失败通知,诱导下载“修复包”,实则暗藏 cookie/token 窃取器;运气再差点,碰上勒索病毒,连隔离区都未必保得住。
细思极恐的是:如果对方更用心一点呢?
- 头像昵称模仿常活跃的贡献者,
- 语言更贴近项目日常口吻,
- 压缩包里真塞了半套可用代码,
- 病毒藏在
postinstall脚本里,等运行pnpm install时才悄然苏醒……
那我,大概真会中招。
想到这儿,忽然有点后怕。
倒不是怕自己多重要——像我这样的小透明,还不至于被“量身定制”一次攻击
它只是在广撒网,而我只是偶然路过的一条鱼,所幸今天网眼够大,我滑了出去。
下次呢?
附截图
压缩包内容当时忘了截图,.exe 和 .dll 文件名都是随机的字符串,现在不敢再点了awa
如果你喜欢研究,可以发邮件到 i@lonzov.top 我把链接发给你
如果你真的中招了……
先别慌,这类通过 GitHub 伪装分发的木马,95% 以上是窃取凭据型或挖矿程序,破坏性有限——前提是第一时间断网。
应急措施(越快越好):
-
立刻断网
拔掉网线 / 关 Wi-Fi / 禁用网络适配器 / 关闭路由器。 -
隔离 & 识别
- 用另一台干净设备(手机也行),搜索压缩包哈希(如
f97ca3563aef.zip的 SHA256)或可疑进程名 - 推荐查 VirusTotal 或 Any.Run(在线沙箱),看是否已有分析报告
- 用另一台干净设备(手机也行),搜索压缩包哈希(如
-
离线查杀
- 找个 U 盘,从可信设备下载 离线版杀毒工具(如卡巴斯基急救盘、火绒启动盘镜像、360 急救箱离线包)
- 制作启动盘 / 直接运行离线扫描器 → 全盘深度扫描 → 按提示清除
-
事后补救
- 强制重置所有敏感凭据:各类 Token、在设备上输入过的密码、浏览器保存的自动填充……
- 检查
~/.ssh/、~/.gitconfig、浏览器扩展等是否被篡改 - 若发现勒索提示(如文件被加密、弹窗索要比特币):
❌ 别交赎金(无保证 + 助长犯罪)
✅ 先查 No More Ransom——部分旧勒索病毒有官方解密工具
⚠️ 但必须明白:新型勒索病毒基本无解,预防远胜于补救
-
插一嘴:
少数勒索团伙会提供“免费解密一个文件”的服务,美其名曰“建立信任”
如果你被锁的文件里,真的只有一个非它不可——不妨把那个文件发过去,换回明文,这不是怂,是止损如果可以,还建议
- 原始被锁文件备份,别改动时间戳和属性
- 收到解密版后,也原样留一份备份
未来万一有解密工具出现,这组“密文-明文”可能帮你批量恢复其他文件,别问我怎么知道这些的
重要提醒:
- 这类攻击极少(意思是不排除) 用“破坏型病毒”(如格式化硬盘),因为攻击者要的是牟利,不是搞破坏
- 但凭据泄露可能比勒索更危险——你的账户被盗,攻击者在你不知情时用你的账户做见不得光的事情
所以啊,断网是第一道闸门,改密码是第二道堤坝。
至于第三道?——大概就是此刻读完这篇,下次看到 .exe 附件时,手比脑子快半秒按下删除键吧。
部分信息可能已经过时
