去年6月，一個(gè)名叫TroyDen的賬號(hào)在Telegram開了個(gè)頻道，叫@NumberLocationTrack。沒人注意到這個(gè)細(xì)節(jié)。直到9個(gè)月后，Netskope的研究員在法蘭克福的一臺(tái)服務(wù)器上，發(fā)現(xiàn)了300多個(gè)GitHub倉庫在往同一個(gè)地址回傳數(shù)據(jù)——全是開發(fā)者的桌面截圖。

這是2025年開年以來最精細(xì)的一場(chǎng)"釣魚"。目標(biāo)不是點(diǎn)擊鏈接的大爺大媽，是能寫代碼、會(huì)翻墻、自以為安全意識(shí)夠高的那群人。黑客把惡意軟件拆成三塊，每一塊單獨(dú)過殺毒引擎都干干凈凈，合在一起才現(xiàn)原形。這種設(shè)計(jì)不是聰明，是對(duì)自動(dòng)化檢測(cè)系統(tǒng)的嘲諷。

一個(gè)"明星項(xiàng)目"的誕生

2025年初，GitHub上出現(xiàn)了一個(gè)叫AAAabiola/openclaw-docker的倉庫。名字起得很講究：OpenClaw是個(gè)正經(jīng)的AI項(xiàng)目，Docker是開發(fā)者天天用的工具，連起來像個(gè)官方部署方案。README寫得像模像樣，Windows和Linux的安裝步驟都有，還配了個(gè)GitHub.io的配套頁面。

貢獻(xiàn)者名單里有個(gè)賬號(hào)，名下有個(gè)568星的倉庫。這個(gè)數(shù)字選得刁鉆——不是幾千星的大V，那種太容易被識(shí)破；也不是零星的僵尸號(hào)，那種沒人信。568星，剛好卡在"有點(diǎn)東西但不張揚(yáng)"的區(qū)間。

剩下的全是戲。攻擊者批量注冊(cè)了一批小號(hào)，給項(xiàng)目點(diǎn)星、fork，再打上ai-agents、docker、openclaw、LLM這些標(biāo)簽。GitHub的搜索算法吃這套，項(xiàng)目很快爬到開發(fā)者搜索結(jié)果的前列。一個(gè)"熱門開源工具"的人設(shè)，就這么搭起來了。

但真正的問題是：代碼里藏了什么？

Netskope的分析師下載了 release 包，解壓后看到三樣?xùn)|西：Launch.bat、unc.exe、license.txt。批處理文件、可執(zhí)行程序、許可證文本——看起來像個(gè)正常軟件的標(biāo)配。實(shí)際上，unc.exe是改名后的LuaJIT運(yùn)行時(shí)，license.txt是混淆過的Lua腳本，Launch.bat是唯一能把兩者串起來的鑰匙。

這個(gè)設(shè)計(jì)針對(duì)的是自動(dòng)化沙箱的盲區(qū)。VirusTotal這類服務(wù)收到文件后，通常把每個(gè)組件單獨(dú)丟進(jìn)虛擬機(jī)跑一圈。批處理文件？ harmless?？蓤?zhí)行程序？ harmless。文本文件？ harmless。三份無害報(bào)告拼在一起，結(jié)論就是"安全"。

但真正的攻擊發(fā)生在用戶雙擊Launch.bat的那一刻。批處理文件按特定順序調(diào)用unc.exe，把license.txt當(dāng)參數(shù)喂進(jìn)去，LuaJIT解釋器開始執(zhí)行惡意邏輯。這種"分體激活"的套路，讓靜態(tài)分析工具集體失明。

五道安檢門與法蘭克福的服務(wù)器

Payload運(yùn)行前要先過五道檢查：有沒有調(diào)試器、內(nèi)存是不是太小、系統(tǒng)運(yùn)行時(shí)間夠不夠長(zhǎng)、CPU核心數(shù)夠不夠多、有沒有常見分析工具在跑。任何一項(xiàng)不通過，程序就靜默退出，不留痕跡。

這些檢查不是為了防普通用戶——普通用戶的機(jī)器不可能裝調(diào)試器。目標(biāo)很明確：讓自動(dòng)化分析環(huán)境覺得"這軟件什么都沒干"，從而給出干凈報(bào)告。

過關(guān)后的第一件事是定位。受害者的IP被解析成地理位置，連同一張完整的桌面截圖，一起發(fā)到法蘭克福的C2服務(wù)器。Netskope追蹤到這臺(tái)后端用了8個(gè)IP做負(fù)載均衡，架構(gòu)明顯是為大規(guī)模并發(fā)設(shè)計(jì)的。

研究員順藤摸瓜，發(fā)現(xiàn)同樣的惡意工具鏈出現(xiàn)在300多個(gè)不同的交付包里。游戲外掛、手機(jī)追蹤器、VPN破解工具、Roblox腳本——全是開發(fā)者和技術(shù)愛好者會(huì)主動(dòng)搜索的東西。每個(gè)倉庫的命名都怪怪的：拉丁文古詞、冷門生物分類名、醫(yī)學(xué)術(shù)語。這種命名風(fēng)格不像人類的手筆，更像是AI批量生成的結(jié)果。

換句話說，攻擊者可能用AI寫了命名腳本，用AI生成了部分代碼，再用AI輔助批量創(chuàng)建GitHub賬號(hào)。 一個(gè)人運(yùn)營(yíng)不了300個(gè)倉庫的維護(hù)、更新、 star 刷量，但AI可以。

Telegram頻道里的時(shí)間線

調(diào)查中最有意思的發(fā)現(xiàn)是那個(gè)Telegram頻道。@NumberLocationTrack從2025年6月就開始運(yùn)營(yíng)，比GitHub倉庫的出現(xiàn)早了至少三個(gè)月。頻道名字直白得近乎粗暴：號(hào)碼定位追蹤。

這意味著攻擊者在公開投放惡意代碼之前，已經(jīng)花了大量時(shí)間測(cè)試基礎(chǔ)設(shè)施、打磨工具鏈、觀察目標(biāo)人群的行為模式。GitHub倉庫不是起點(diǎn)，是規(guī)?；瘡?fù)制后的結(jié)果。

攻擊者的技術(shù)棧也值得玩味。LuaJIT是個(gè)小眾選擇——比Python快，比C++輕量，反編譯難度大，在惡意軟件圈子里不算主流。選這個(gè) runtime，說明團(tuán)隊(duì)里有懂編譯原理的人，而且愿意為"隱蔽性"犧牲開發(fā)效率。

更細(xì)思極恐的是話題標(biāo)簽的運(yùn)營(yíng)。ai-agents、LLM這些詞是2024-2025年的流量密碼，攻擊者精準(zhǔn)地蹭了上去。他們不是不懂技術(shù)，是太懂了——懂到知道開發(fā)者會(huì)搜什么、信什么、點(diǎn)什么。

開發(fā)者正在成為最脆弱的環(huán)節(jié)

傳統(tǒng)安全模型假設(shè)"用戶是弱點(diǎn)"，所以企業(yè)拼命給員工做釣魚培訓(xùn)。但這場(chǎng)戰(zhàn)役的受害者是另一群人：能讀代碼、會(huì)看commit歷史、知道怎么驗(yàn)證GPG簽名的開發(fā)者。他們的自信反而成了盲區(qū)——"我懂技術(shù)，我不會(huì)中招"。

AAAabiola/openclaw-docker的偽裝級(jí)別，恰恰利用了這種心理。不是粗糙的"點(diǎn)擊領(lǐng)取比特幣"，是完整的項(xiàng)目生態(tài)：有文檔、有貢獻(xiàn)者、有社區(qū)互動(dòng)（雖然是刷的）、有持續(xù)更新。開發(fā)者評(píng)估開源項(xiàng)目的直覺經(jīng)驗(yàn)，在這里全部失效。

Netskope的報(bào)告沒有披露具體受害人數(shù)，但提到了"廣泛的用戶范圍"?？紤]到300多個(gè)倉庫、8個(gè)后端IP、以及Telegram頻道三個(gè)月的預(yù)熱期，實(shí)際影響可能遠(yuǎn)超目前確認(rèn)的樣本。

GitHub在2024年加強(qiáng)了惡意倉庫的檢測(cè)，但這場(chǎng) campaign 說明規(guī)則對(duì)抗已經(jīng)升級(jí)。攻擊者不再上傳明顯的惡意二進(jìn)制文件，而是拆分、混淆、用合法 runtime 加載惡意腳本——每一步都踩在"技術(shù)上合法"的邊界上。

一個(gè)值得注意的細(xì)節(jié)：所有受害者的桌面截圖都被傳回C2服務(wù)器。這不是必要的功能，惡意軟件完全可以直接執(zhí)行后續(xù)攻擊。截圖更像是一種"質(zhì)量控制"——攻擊者在觀察哪些誘餌有效、哪些被識(shí)破、目標(biāo)人群的真實(shí)使用場(chǎng)景是什么。

這種數(shù)據(jù)驅(qū)動(dòng)的迭代模式，和正規(guī)產(chǎn)品的增長(zhǎng)黑客沒什么區(qū)別。

現(xiàn)在，那個(gè)叫TroyDen的賬號(hào)還在Telegram上活躍。GitHub上的惡意倉庫大部分已被清理，但攻擊者的基礎(chǔ)設(shè)施——法蘭克福的8個(gè)IP、LuaJIT的工具鏈、AI生成命名的方法論——隨時(shí)可以重新啟用。下一次，項(xiàng)目名字可能不再是OpenClaw，而是當(dāng)下最熱門的AI框架。

你最近一次從GitHub下載工具時(shí)，有沒有檢查過貢獻(xiàn)者的其他倉庫？有沒有看過Launch.bat里到底寫了什么？