随着网络安全形势的不断变化，SourceForge作为开源软件和项目开发者的重要平台，近来被黑客利用，将其转变为传播恶意软件的渠道。根据Kaspersky Labs的最新发现，攻击者开始利用SourceForge向用户传播一种结合了ClipBanker木马和加密货币矿工的复杂恶意软件，这一行动藏身于一个伪装成微软Office增强套件的项目中。

攻击活动最初呈现的是在sourceforge.net上的一个合法项目，名为“officepackage”，该项目实际上是从真实的微软Office附加组件的GitHub仓库中克隆而来。然而，攻击者在暗中设置了一个伪装域名——officepackage.sourceforge[.]io，与主项目页面不同，该页面提供了“带有版本号和‘下载’按钮的庞大办公应用列表”。

通过点击“下载”按钮，用户将启动一个多阶段的感染链，包含膨胀的安装程序、嵌入的脚本、密码保护的归档文件以及PowerShell脚本，所有这些元素都经过精心设计，旨在欺骗用户并逃避安全工具。“点击该按钮后，最终会下载一个名为vinstaller.zip的约七兆字节的归档文件，”Kaspersky报告指出。“这引发了一些警示，因为即使压缩后，办公软件也不会这么小。”

一旦打开，vinstaller.zip文件将包含另一个归档文件及一个带密码的Readme.txt。在文件内，有一个可疑的超大.msi文件，大小超过700MB，其大小通过填充零字节进行了人为膨胀。当执行该安装程序时，它将部署一个Visual Basic脚本，该脚本从GitHub下载一个批处理文件（confvk）。该批处理文件会检查环境中是否存在分析工具或杀毒软件，然后继续解压一个隐藏的RAR档案。

其中一个PowerShell脚本通过Telegram API收集并外泄系统数据，而另一个(confvz)则为持续的恶意软件执行铺平了道路，而这便是事态变得更加阴暗的地方。恶意软件的核心是两个封装在DLL文件中的AutoIt脚本：Icon.dll将加密货币矿工注入系统，Kape.dll则提供ClipBanker，它默默地劫持剪贴板内容，将复制的加密货币钱包地址替换为攻击者自己的地址。“主要的恶意行为……归结为运行两个AutoIt脚本，”报告指出。“ClipBanker……将剪贴板中的加密货币钱包地址替换为攻击者的地址。”

除了这些，RAR档案中还包含了ShellExperienceHost.exe，这是一个重命名后的Netcat工具，通过445端口与感染的系统建立加密的远程命令行访问。恶意程序的创建者通过令人震惊的数组持久性机制确保了其长久性：在App Paths下的注册表劫持将常见命令（如install.exe）重定向到恶意批处理脚本；以误导性名称（如NetworkConfiguration和PerformanceMonitor）创建的Windows服务；每隔80秒（备份为300秒）重新触发恶意软件的WMIC事件过滤器；对Windows的ErrorHandler.cmd脚本的创造性滥用——这个本应用于操作系统故障诊断的脚本反而被用作自动启动基于PowerShell的后门。

“这基本上创建了一个远程命令行，作为C2服务器的地址为apap[.]app:445，”研究人员指出。虽然此次攻击具有全球影响，但大多数受害者似乎来自讲俄语地区。来自Kaspersky的遥测数据显示，“90%的潜在受害者都在俄罗斯，自1月初至3月底，有4604名用户接触到了这一方案。”这表明一种故意的目标策略——利用搜索引擎优化、熟悉的语言和伪合法软件来增加感染的可能性。

网络安全专家们提醒，用户在下载任何软件时应保持高度警惕，尤其是在知名平台上，这些平台虽然提供了便利，但也可能成为网络犯罪分子的温床。受攻击的对象多为未采取适当防护措施的用户，因此，及时更新安全软件、对下载文件进行仔细审查，乃至紧急采取安全措施，将是确保个人信息安全的关键。

随着网络犯罪技术的不断进步，公众对网络安全的重视显得尤为重要。SourceForge如今的困境则是一个警示，提醒所有互联网用户这是一个充满挑战的新环境，特别是在软件开发和分发领域。企业和个人用户在享受技术带来便利的同时，也必须承担起保护自身安全的责任，及时更新防护措施，以应对可能随时发生的各种网络威胁。