鎖定開發者與資安人員：駭客偽造百個知名工具官網，暗中散布惡意軟體與竊資程式

資安研究機構 Check Point Research（CPR）近日發布報告，揭露一起針對開發者與資安研究人員的大規模攻擊行動。駭客利用超過 100 個偽造網站，精準模仿 Ghidra、dnSpy 與 SpiderFoot 等廣受業界信任的開源資安工具，意圖竊取資訊並散布惡意軟體。

鎖定高階技術人員的偽裝陷阱

這波攻擊的特殊之處在於其目標選擇。駭客刻意冒充資安人員常用的逆向工程工具，這類工具通常被視為高度可信的資源。CPR 在報告中指出：

這場行動最引人注目的地方在於品牌選擇：該系列網站偽冒了 Ghidra 與 dnSpy 等受信任的逆向工程工具，這些工具正是資安研究人員與惡意軟體分析師日常工作的核心。

受害者在搜尋引擎點擊連結後，會被導向一套流量分配系統（Traffic Distribution System, TDS），隨後被植入多種惡意程式，包括：

• SessionGate：一種新型多階段載入程式（Loader），設計極為複雜，旨在隱匿最終的惡意酬載（Payload）。
• RemusStealer：新興的資訊竊取程式，專門針對瀏覽器數據與擴充功能進行攻擊。
• AnimateClipper：加密貨幣剪貼簿劫持工具，能攔截超過 20 種區塊鏈的交易資訊。

流量變現為首要目標

儘管這些偽造網站散布了多種惡意軟體，但 CPR 分析認為，駭客的主要目的並非單純的惡意攻擊，而是透過流量獲利。駭客透過建立流量分配系統，將搜尋引擎導流而來的用戶轉化為廣告收益。CPR 強調：

透過嵌入流量分配層並將搜尋流量導入其中，營運者成為分發鏈的一環，其下游消費者可能包含惡意軟體分發者。同一條驅動灰色變現的流量管線，也能選擇性地將真實用戶導向惡意酬載。

雖然目前尚無法統計確切的受害者人數，但從 VirusTotal 上已累積超過 5,000 筆相關檔案提交紀錄來看，此波攻擊的規模相當龐大。資安專家提醒，即便連結出現在 Google 等主流搜尋引擎的搜尋結果首位，也不應盲目信任，使用者在下載資安工具時務必謹慎查核網址真偽。