GitHub 上的投毒攻击事件剖析

主要观点总结

本文介绍了关于Solara Executor这款针对Roblox平台的脚本执行器被不法分子利用进行投毒攻击的情况。文章详细描述了攻击流程，涉及多个环节，包括在GitHub上传播恶意文件、执行恶意脚本、下载更多恶意程序并进行数据外联等，形成了完整的恶意攻击链路。同时，文章还分析了涉及攻击的GitHub账号的异常情况，并给出了攻击的具体细节和使用的恶意脚本。

关键观点总结

关键观点1: Solara Executor软件介绍

Solara Executor是一款针对Roblox平台的脚本执行器，宣称具备卓越的脚本执行能力、出色的性能以及简洁直观的操作界面，与Roblox的最新版本完全兼容，为游戏玩家、开发人员和模组制作者提供高安全性与便捷性。

关键观点2: 攻击流程概述

本次攻击的具体流程涉及多个环节，包括在GitHub上传播恶意文件，执行恶意PowerShell脚本，下载更多恶意程序并进行数据外联，形成一条完整的恶意攻击链路。

关键观点3: GitHub账号分析

多个涉及此次攻击的GitHub账号于同一时间段新建，账号信息异常，首次创建的项目均为SolaraExecutor-V3，暗示其存在恶意目的的可能性。

关键观点4: 攻击细节

用户从GitHub上下载并运行Solara V3.exe后，会触发一段恶意的PowerShell脚本执行。该脚本通过Loader.exe进程调用PowerShell执行具体命令，命令会下载并运行来自指定URL的恶意程序，并执行文件注入等恶意操作。

关键观点5: 解密恶意脚本

提供的加密PowerShell命令使用base64编码。解码后的脚本会执行以下操作：从指定的URL下载文本内容，将文本按换行符分割得到多个链接，然后下载这些链接指向的文件到用户应用数据目录下，其中一些文件具有自动注入内存数据的功能。

免责声明