去年12月，一位游戲開發(fā)者在GitHub搜索"OpenClaw Docker部署"時(shí)，點(diǎn)進(jìn)了排名第一的倉庫。README寫得專業(yè)，作者有568星的歷史項(xiàng)目，還有十幾個(gè)真實(shí)用戶點(diǎn)了star。他沒想到，這個(gè)精心設(shè)計(jì)的陷阱，會讓自己的桌面截圖實(shí)時(shí)傳送到法蘭克福的服務(wù)器。

Netskope Threat Labs追蹤發(fā)現(xiàn)，這是一場代號"TroyDen's Lure Factory"的規(guī)?；?。攻擊者在GitHub投放了超過300個(gè)惡意包，目標(biāo)精準(zhǔn)鎖定四類人群：軟件開發(fā)者、游戲玩家、Roblox用戶、加密貨幣持有者。更棘手的是，這套攻擊鏈專門繞過了自動(dòng)化安全檢測——不是鉆漏洞，而是利用了沙盒的工作機(jī)制本身。

01 一個(gè)"完美"的GitHub倉庫長什么樣

惡意倉庫AAAbiola/openclaw-docker的偽裝程度，足以讓經(jīng)驗(yàn)豐富的開發(fā)者放松警惕。它冒充的是合法開源項(xiàng)目OpenClaw的Docker部署工具，README包含Windows和Linux雙平臺安裝指南，配套了獨(dú)立的GitHub.io頁面。

倉庫作者Abiola的賬號并非空殼——其名下另有一個(gè)568 star的公開項(xiàng)目，這種"養(yǎng)號"投入遠(yuǎn)超普通黑產(chǎn)團(tuán)伙。

為了沖排名，攻擊者還注冊了大量僵尸賬號刷star和fork，并精準(zhǔn)打上ai-agents、docker、openclaw、LLM等熱門標(biāo)簽。當(dāng)開發(fā)者在GitHub搜索AI部署工具時(shí)，這個(gè)倉庫會出現(xiàn)在結(jié)果前列。這種SEO式的攻擊策略，讓惡意代碼獲得了天然的流量入口。

Netskope的研究人員最初是在檢測一個(gè)異常包時(shí)發(fā)現(xiàn)了端倪：該包使用了行為規(guī)避技術(shù)，專門對抗自動(dòng)化分析流水線。順著這條線追查，他們挖出了橫跨300多個(gè)確認(rèn)投遞包的惡意工具鏈——游戲作弊器、手機(jī)追蹤器、VPN破解工具、Roblox腳本，分散在多個(gè)GitHub倉庫中，卻全部指向同一套攻擊者基礎(chǔ)設(shè)施。

02 拆分式載荷：專門騙過殺毒軟件的"雙組件"設(shè)計(jì)

這場攻擊最精巧的設(shè)計(jì)，在于它對檢測機(jī)制的針對性反制。每個(gè)惡意ZIP包內(nèi)含三件東西：Launch.bat批處理文件、重命名為unc.exe的LuaJIT運(yùn)行時(shí)、以及偽裝成license.txt的混淆Lua腳本。

單獨(dú)提交其中任何一件到殺毒引擎，都會顯示干凈無害——這是設(shè)計(jì)好的。

威脅只在特定條件下激活：當(dāng)Launch.bat按正確順序調(diào)用另外兩個(gè)組件時(shí)，惡意代碼才會執(zhí)行。這種設(shè)計(jì)直接利用了標(biāo)準(zhǔn)沙盒的弱點(diǎn)——自動(dòng)化掃描通常孤立分析單個(gè)文件，不會模擬完整的執(zhí)行鏈條。就像拆開的炸彈零件，分開看都是普通金屬件，組裝后才致命。

組件就位后，載荷會執(zhí)行五層反分析檢測：檢查調(diào)試器存在、低內(nèi)存環(huán)境、短系統(tǒng)運(yùn)行時(shí)間、虛擬機(jī)特征，以及特定進(jìn)程列表。任何一條觸發(fā)，惡意行為就會終止。這種"環(huán)境感知"能力，讓手動(dòng)分析也變得困難。

通過的技術(shù)門檻后，木馬會立即執(zhí)行兩項(xiàng)操作：地理定位受害者機(jī)器，并截取完整桌面截圖傳回C2服務(wù)器。該服務(wù)器位于德國法蘭克福，后端由8個(gè)IP地址負(fù)載均衡——這種架構(gòu)明顯為大規(guī)模并發(fā)設(shè)計(jì)，而非小打小鬧。

03 AI輔助的工業(yè)化生產(chǎn)：從命名規(guī)律看攻擊者畫像

研究人員在梳理投遞包目錄名稱時(shí)，發(fā)現(xiàn)了一個(gè)反常模式：這些名稱混雜了冷門生物分類學(xué)術(shù)語、古拉丁語和醫(yī)學(xué)詞匯。這種人為難以復(fù)現(xiàn)的命名風(fēng)格，強(qiáng)烈指向機(jī)器生成——即AI輔助的規(guī)模化惡意軟件生產(chǎn)。

傳統(tǒng)黑產(chǎn)團(tuán)伙通常用直白的功能描述命名文件，而這場攻擊的命名系統(tǒng)呈現(xiàn)出一種"過度設(shè)計(jì)"的特征，更像是自動(dòng)化工具鏈的輸出結(jié)果。

攻擊者的資源投入也超出常規(guī)。養(yǎng)號刷量、多倉庫運(yùn)營、負(fù)載均衡基礎(chǔ)設(shè)施、以及針對沙盒的定制化繞過——這些都需要持續(xù)的資金和技術(shù)支持。Netskope將其評估為"資源充足的威脅行為者"，而非業(yè)余黑客。

時(shí)間線追溯顯示，攻擊者至少從2025年6月就開始活動(dòng)。研究人員關(guān)聯(lián)到一個(gè)名為@NumberLocationTrack的Telegram頻道，運(yùn)營者署名TroyDen。該頻道比GitHub倉庫早出現(xiàn)數(shù)月，暗示這場攻擊經(jīng)歷了較長時(shí)間的籌備期，近期才轉(zhuǎn)入GitHub這一高流量平臺。

04 目標(biāo)人群的四重交集：為什么是開發(fā)者+玩家+Roblox+加密用戶

攻擊者的目標(biāo)選擇并非隨機(jī)。這四類人群存在顯著的行為重疊：開發(fā)者習(xí)慣從GitHub克隆代碼并直接運(yùn)行；游戲玩家和Roblox用戶對"作弊工具""腳本"有主動(dòng)搜索需求；加密貨幣持有者則對"錢包管理""節(jié)點(diǎn)部署"等關(guān)鍵詞敏感。

共同點(diǎn)在于——他們都會主動(dòng)下載并執(zhí)行來源不明的可執(zhí)行文件，且對技術(shù)細(xì)節(jié)有一定容忍度，愿意繞過常規(guī)安全警告。

OpenClaw作為AI項(xiàng)目的身份，同時(shí)覆蓋了開發(fā)者和AI愛好者的搜索行為。Docker部署指南則降低了執(zhí)行門檻，讓非專業(yè)用戶也能"一鍵運(yùn)行"。這種交叉定位策略，最大化地?cái)U(kuò)展了潛在受害者池。

截圖回傳和地理定位的功能組合，暗示攻擊者的后續(xù)意圖可能包括：針對性勒索、賬戶接管、或加密貨幣錢包竊取。桌面截圖能暴露大量敏感信息：打開的瀏覽器標(biāo)簽、郵件客戶端、錢包軟件界面、甚至私鑰的臨時(shí)存儲位置。

GitHub作為開源生態(tài)的核心基礎(chǔ)設(shè)施，其信任機(jī)制正成為攻擊者的杠桿。star數(shù)量、作者歷史、README專業(yè)度——這些原本用于評估項(xiàng)目質(zhì)量的信號，被系統(tǒng)性地偽造和操縱。當(dāng)平臺自身的信譽(yù)體系被武器化，用戶的防御成本急劇上升。

Netskope已將相關(guān)倉庫和基礎(chǔ)設(shè)施提交GitHub安全團(tuán)隊(duì)處置，但類似攻擊的復(fù)制門檻正在降低。AI輔助的代碼生成、自動(dòng)化的賬號運(yùn)營、以及針對檢測機(jī)制的對抗性設(shè)計(jì)，這些元素組合在一起，構(gòu)成了一種可規(guī)模化的攻擊模板。

那位去年12月中招的開發(fā)者，在發(fā)現(xiàn)問題后檢查了自己的網(wǎng)絡(luò)日志——截圖傳輸發(fā)生在執(zhí)行后17秒，而他當(dāng)時(shí)正在調(diào)試一個(gè)交易所的API接口。如果你的GitHub搜索歷史里出現(xiàn)過"Docker部署""游戲腳本""Roblox工具"這些關(guān)鍵詞，最近一次從倉庫直接復(fù)制命令運(yùn)行是什么時(shí)候？