在网络安全的世界里，防御者和攻击者之间的战斗形式多种多样，而恶意软件的利用则是在其中极为常见的一种方式。近日，网络安全公司Sophos X-Ops进行的深入调查揭示了一个引人注目的情景——黑客攻击黑客，而这场攻防战的核心是一个被称为Sakura RAT的后门恶意软件。这样的动态不仅揭示了网络世界的复杂性，还反映了网络犯罪者之间的竞争与博弈。

这次调查的起点是在Sophos的一位客户主动询问是否已经建立了针对名为Sakura RAT的开源远程访问木马（RAT）的防护措施。Sakura RAT并不仅仅是一个普通的工具，它被托管在全球知名的代码分享平台GitHub上。Sophos的研究人员在对其代码进行分析后，迅速发现Sakura RAT的功能并不完善，存在很多未完成的部分，其代码甚至是从像AsyncRAT等其他恶意软件中窃取的。这表明在黑客的世界里，恶意代码的循环利用与重组是相当普遍的现象。

在深入挖掘后，Sophos的研究团队追踪到一个存在于GitHub YAML文件中的电子邮件地址，即ischhfd83[at]rambler.ru。通过对该标识符和代码片段的搜索，研究人员发现了141个相关的代码库，其中有133个被植入了后门。这些代码库标榜的形象从游戏作弊工具到各种恶意软件工具不等，充分利用了那些初出茅庐的黑客和脚本小子们的好奇心与贪婪。

当人们使用这些代码库时，他们往往不知道自己正被引入一个陷阱。Sophos的分析揭示了一个极其复杂的感染链。以Visual Studio版本为例，PreBuild脚本悄无声息地丢下一个.vbs文件，这个脚本又执行了一个PowerShell有效载荷，最终获取了一个包含Electron基础的恶意软件应用程序SearchFilter.exe的压缩包。这个应用内藏着大量混淆的JavaScript代码，可以执行数据窃取，调度任务，绕过Windows Defender，并通过Telegram与攻击者进行通信。正如Sophos研究所言：“该恶意软件收集了用户名、主机名、网络接口……并通过Telegram将这些信息发送给攻击者。”

除了PreBuild后门，研究人员还发现了另外三种后门：一种基于Python的后门，利用Fernet加密隐蔽信息；另一种是伪装为屏幕保护程序（.scr）的文件，使用从右向左的覆盖技巧；还有一种是使用eval()的JavaScript后门，利用复杂的多级有效载荷进行混淆。这些变种恶意软件采用了独特的混淆技术和巧妙的手段来逃避检测并最大化感染率。

Sophos的调查还揭示出一种自动化的模式：通过GitHub Actions进行自动提交，使用循环用户名（比如Mastoask、Maskts和Mastrorz）来伪装成假贡献者，以及模仿活跃开发的YAML脚本。研究人员指出：“威胁行为者可能想要给人一种错觉，表明他们的代码库是定期维护的，从而吸引更多潜在受害者。”

关于ischhfd83的身份仍是个谜，但研究小组发现该身份与一些过去的分发服务网络（DaaS）之间存在联系，比如Stargazer Goblin。在恶意软件内嵌入的Telegram机器人指向了unknownx，这是一个可能的别名。调查小组甚至发现了一个可疑域名——arturshi.ru，该域名曾经承载着一个伪造的影响者课程，目前则重定向至一个金融诈骗网站。是否“Unknown”实际是一个别名，还是故意掩饰身份，仍然不明确。

Sophos在总结中发出了警告：“我们怀疑这个故事可能还有更多细节，我们将继续监测后续发展。”这样的声明显然突显了黑客世界中日益复杂且迅速变化的局面。保护互联网和网络用户安全的斗争，绝不仅仅是在技术层面的对抗，更是思想与战略的较量。

在这次事件中，Sakura RAT不仅重新定义了网络攻击的目标，还通过引发黑客之间的互相竞争，展示了网络安全环境的脆弱性与多变性。这样的动态无疑对整个网络安全界带来了深远的影响。在这场网络安全的角力中，网络安全公司与网络犯罪者的斗争越演越烈，未来将更加不可预知。

随着各种新兴恶意软件层出不穷，企业和个人用户必须保持高度警惕，采用定期的网络安全评估与培训，以应对日益成熟的网络威胁。与此同时，网络平台及其开发者亦应当对其生态系统内潜在的恶意代码持有更为严谨的审查态度，以免无意中为黑客提供滋生的温床。如此，才能在这场信息安全的战争中占得先机，保护每一个网络用户的安全与隐私。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！