BoryptGrab通过GitHub仓库假装传布

首页 > 安全钻研 > 安全传递 > 安全简讯

BoryptGrab通过GitHub仓库假装传布

颁布功夫 2026-03-09

1. BoryptGrab通过GitHub仓库假装传布

3月8日，，，趋向科技近日披露一路通过100余个GitHub代码库大规模分发BoryptGrab信息窃取法式的攻击活动。该恶意软件以C/C++编写，，，主题职能是窃取浏览器、、加密钱币钱包数据、、系统详情及常用文件，，，并通过压缩文件上传至攻击者服务器。部门变种会部署TunnesshClient PyInstaller后门，，，成立反向SSH隧道实现远程节制。攻击者选取多层假装战术：将恶意代码嵌入假装成软件工具、、游戏舞弊器的ZIP压缩包，，，链接至GitHub存储库。通过在README中填充SEO关键词，，，使恶意仓库在搜索引擎中排名靠前，，，例如仿照Voicemod Pro下载页面，，，利用含"github-io"的ZIP文件名诱导用户下载。习染链蕴含多种启动方式。BoryptGrab具备反分析机制：通过注册表查问和虚构机文件检测虚构环境，，，比对运前过程列表，，，并尝试提升权限。若未指定输前路子，，，将按当前功夫、、公网IP和国度代码天生活储目录。其"文件抓取器"�？？榭赏缣囟ɡ┐竺某Ｓ媚柯嘉募�，，，新变种还增长了Discord代币窃取职能。

https://securityaffairs.com/189110/malware/massive-github-malware-operation-spreads-boryptgrab-stealer.html

2. Velvet Tempest利用ClickFix技术部署恶意软件

3月7日，，，被追踪为"Velvet Tempest"（别号DEV-0504）的勒索软件威胁行为者，，，正通过ClickFix技术和合法Windows实用法式部署DonutLoader恶意软件及CastleRAT后门。该组织作为勒索软件攻击的从属组织已活跃至少五年，，，曾参加部署Ryuk、、REvil、、Conti、、BlackMatter、、BlackCat/ALPHV、、LockBit和RansomHub等多款粉碎性勒索软件。网络糊弄威胁谍报公司MalBeacon在仿照非投机组织环境中观察到该组织12天的攻击行为。攻击初始阶段通过恶意告白活动执行，，，利用ClickFix与CAPTCHA混合糊弄，，，诱导受害者将混合号令粘贴至Windows运行对话框，，，触发嵌套cmd.exe链并挪用finger.exe获取首个假装成PDF压缩文件的恶意软件加载器�；袢〗蛹ㄏ藓�，，，攻击者执行键盘操作进行Active Directory窥伺、、主机发现及环境分析，，，并使用托管于关联Termite勒索软件工具部署环境的PowerShell剧本，，，提取Chrome存储的痛处�：笮锥瓮ü齈owerShell下载执行号令，，，最终部署DonutLoader并获取与CastleLoader关联的CastleRAT远程接见木马。

https://www.bleepingcomputer.com/news/security/termite-ransomware-breaches-linked-to-clickfix-castlerat-attacks/

3. 伊朗MuddyWater APT组织对美机构发起混合攻击

3月6日，，，博通赛门铁克团队近日披露，，，与伊朗谍报和安全数（MOIS）关联的MuddyWater（别号SeedWorm、、TEMP.Zagros等）APT组织正对美国多家机构发起持续攻击。该活动自2026年2月启动，，，至今仍在活跃，，，指标涵盖美国银行、、机场、、非投机组织及一家以色列国防航空航天软件供给商。这次攻击中，，，MuddyWater部署了新型后门Dindoor，，，其依赖Deno运行时执行JavaScript/TypeScript代码，，，并使用“Amy Cherne”证书署名。同时，，，钻研人员发现攻击者试图通过Rclone工具将指标软件公司数据窃取至Wasabi云存储桶，，，但传输了局未明。美国机场和非投机组织网络中还出现了独立的Python后门Fakeset，，，该恶意软件使用与Seedworm关联的证书署名，，，托管于Backblaze服务器，，，进一步印证伊朗布景。

https://securityaffairs.com/189060/apt/iran-linked-muddywater-deploys-dindoor-malware-against-u-s-organizations.html

4. TriZetto医疗数据泄露事务影响超340万人

3月6日，，，医疗保健IT公司TriZetto Provider Solutions遭逢重大数据泄露，，，导致超340万人的敏感信息露出。事务始于2024年11月19日，，，威胁行为者未经授权接见保险资格验证买卖纪录，，，这是医疗服务提供方医治前确认患者保险领域的关键流程。直至2025年10月2日，，，该公司才在门户网站检测到可疑活动并启动调查，，，调查显示接见行为持续近一年。泄露数据因人各别，，，可能蕴含全名、、现实地址、、诞生日期、、社会安全号码、、健康保险会员编号、、医疗保险受益人标识符、、提供商及保险公司名称，，，以及人丁统计、、健康和保险信息。但支付卡、、银行账户或其他财政信息未被泄露，，，且目前未发现信息被滥用的案例。受影响服务提供商于2025年12月9日获通知，，，客户通知工作则从2026年2月初启动。凭据缅因州总检察长提交的文件，，，受影响人数达3,433,965人。TriZetto已采取措施加强系统安全，，，并传递法律部门，，，同时为受影响者提供Kroll的12个月免费信誉监控和身份�；し�。

https://www.bleepingcomputer.com/news/security/cognizant-trizetto-breach-exposes-health-data-of-34-million-patients/

5. CISA垂危要求联邦机构修复iOS高危缝隙

3月6日，，，美国网络安全和基础设施安全局（CISA）近日颁布强制性指令，，，要求联邦机构在2026年3月26日前修复三个被Coruna缝隙利用工具包攻击的iOS安全缝隙。这些缝隙已被纳入CISA已知利用缝隙目录，，，属于约束性操作指令（BOD）22-01的管控领域。谷歌威胁谍报小组（GTIG）钻研显示，，，Coruna工具包通过23个iOS缝隙链执行攻击，，，其中无数为零日缝隙。该工具包具备指针认证码（PAC）绕过、、沙箱逃逸和页面�；げ悖≒PL）绕过能力，，，可实现WebKit远程代码执行并提升至内核权限。然而，，，最新版iOS系统、、隐衷浏览模式或苹果锁定模式可有效阻断此类攻击。Coruna攻击链已被多个威胁行为者利用：蕴含监控供给商客户、、疑似俄罗斯国度支持的黑客组织UNC6353，，，以及经济驱动的中国威胁行为者UNC6691。

https://www.bleepingcomputer.com/news/security/cisa-warns-of-apple-flaws-exploited-in-spyware-crypto-theft-attacks/

6. 伊朗Dust Specter借AI攻击伊拉克当局

3月6日，，，Zscaler ThreatLabz近日告发，，，与伊朗关联的黑客组织Dust Specter针对伊拉克当局官员提议精密网络攻击，，，通过假意伊拉克外交部的垂钓邮件传布新型恶意软件，，，蕴含SPLITDROP、、TWINTASK、、TWINTALK及GHOSTFORM。这次行动被中高相信度归因于Dust Specter，，，其TTP特点与伊朗汗青网络间谍活动高度吻合。攻击链1以密码�；さ腞AR文件为载体，，，内含假装成WinRAR的SPLITDROP投放器。执行后，，，该二进制文件解密并部署TWINTASK与TWINTALK。恶意软件通过注册表项成立悠久性，，，利用VLC、、WingetUI等合法软件进行DLL侧加载。TWINTALK选取随机延长、、自界说URI蹊径及JWT令牌与C2服务器通讯，，，支持号令执行、、文件上传及有效载荷下载。攻击链2整合职能至单一二进制文件GHOSTFORM，，，直接在内存中执行号令以削减文件系统痕迹。该恶意软件假装成伊拉克外交部调查的Google表单诱骗受害者，，，并选取隐形窗体延长执行、、互斥锁查抄预防多实例。代码分析发现异常元素：嵌入表情符号、、Unicode文本及占位符值，，，这些特点与天生式AI天生的代码模式相符。

https://securityaffairs.com/189033/apt/iran-nexus-apt-dust-specter-targets-iraq-officials-with-new-malware.html

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研