Aggregator

安全研究员最新发现的一款 Linux 僵尸网络 SSHStalker，采用IRC（互联网中继聊天）通信协议实现命令与控制（C2）操作。

据了解，该协议于 1988 年问世，在 20 世纪 90 年代达到普及高峰，成为当时用于群组与私密通信的主流文本即时通信方案。技术社区至今仍青睐其实现简单、互操作性强、带宽占用低且无需图形界面（GUI）等特点。 

SSHStalker 僵尸网络并未采用现代化命令与控制框架，而是依托经典 IRC 机制运行，例如使用多个基于 C 语言编写的木马程序、多服务器/多频道冗余设计，更注重韧性、规模化与低成本，而非隐蔽性与技术新颖性。 

研究人员表示，这种思路也体现在 SSHStalker 的其他攻击行为中，例如使用特征明显的 SSH 扫描、每分钟执行一次的定时任务，以及大量距今已有 15 年历史的漏洞（CVE）。 

据悉，安全研究人员实际发现的是一个特征明显、拼凑而成的僵尸网络工具包，融合了传统 IRC 控制、在主机上编译二进制程序、大规模 SSH 攻陷以及基于定时任务实现持久化等手段。简单来说，这是一套优先规模、注重可靠而非隐蔽的运营模式。

受感染主机 IRC 频道

SSHStalker 通过自动化 SSH 扫描与暴力破解实现初始入侵，其使用的 Go 语言二进制程序会伪装成知名开源网络探测工具 Nmap。

被攻陷的主机随后会被用于扫描更多 SSH 目标，形成类似蠕虫的传播扩散机制。

研究人员发现了一份包含近 7000 条僵尸网络扫描结果的文件，均来自今年 1 月，攻击目标主要集中在Oracle Cloud等云服务商。

SSHStalker 感染主机后，会下载 GCC 编译工具，在受害设备上直接编译恶意载荷，以提升程序可移植性与规避检测能力。

首批载荷为基于 C 语言的 IRC 木马，内置硬编码的控制服务器与频道信息，将新受害主机纳入僵尸网络的 IRC 控制体系。 

随后，该恶意软件会下载名为 GS 和 bootbou 的压缩包，其中包含用于统一调度与按序执行的不同木马变体。

持久化机制通过每 60 秒运行一次的定时任务实现，该任务采用看门狗式更新逻辑，检查主木马进程是否运行，若被终止则重新启动。

该僵尸网络还集成了针对 2009—2010 年版本 Linux 内核的 16 个漏洞利用程序，在暴力破解获得低权限用户访问权限后，用于实现权限提升。

攻击链概述

在牟利方式上，该僵尸网络会窃取 AWS 密钥、扫描网站，并集成了挖矿程序，包括高性能以太坊挖矿工具 PhoenixMiner。

僵尸网络同样具备分布式拒绝服务（DDoS）攻击能力，但研究人员表示暂未观测到相关攻击行为。事实上，SSHStalker 木马目前仅连接控制服务器后便进入闲置状态，表明其仍处于测试或囤积访问权限阶段。 

研究人员尚未将 SSHStalker 归属到特定攻击组织，但发现其与 Outlaw/Maxlas 僵尸网络体系存在相似之处，并出现多项与罗马尼亚相关的特征线索。 

威胁情报机构建议，在生产服务器上应部署针对编译器安装与执行行为的监控方案，并对 IRC 类型的出站连接设置告警。来自异常路径、执行周期极短的定时任务，也是高度危险的预警信号。 

安全研究人员提出了一些防御建议，例如关闭 SSH 密码认证、从生产环境镜像中移除编译器、强制实施出站流量过滤，以及限制从 /dev/shm目录执行程序等举措。

超30万的用户安装了共计30 款的恶意 Chrome 浏览器扩展程序，它们伪装成AI助手形式以窃取用户账号凭证、邮件内容与浏览信息。其中部分扩展目前仍上架于 Chrome 应用商店，另有部分扩展安装量相对较小。

研究人员发现这一恶意扩展攻击活动后将其命名为 AiFrame。经分析，所有涉事扩展均归属同一攻击团伙控制，为同一域名 tapnetic.pro 下的攻击基础设施通信。

据研究人员介绍，AiFrame 活动中最流行的扩展为 Gemini AI Sidebar（ID：fppbiomdkfbhgjjdmojlogeceejinadg），用户量达 8 万，目前已从 Chrome 应用商店下架。 

但仍有多款用户量达数千的同类恶意扩展继续留在谷歌 Chrome 扩展商店中。值得注意的是，这些扩展名称可能不同，但核心标识一致，包括：

·AI Sidebar（gghdfkafnhfpaooiolhncejnlgglhkhe）——7 万用户

·AI Assistant（nlhpidbjmmffhoogcennoiopekbiglbp）——6 万用户

·ChatGPT Translate（acaeafediijmccnjlokgcdiojiljfpbe）——3 万用户

·AI GPT（kblengdlefjpjkekanpoidgoghdngdgl）——2 万用户

·ChatGPT（llojfncgbabajmdglnkbhmiebiinohek）——2 万用户

·AI Sidebar（djhjckkfgancelbmgcamjimgphaphjdl）——1 万用户

·Google Gemini（fdlagfnfaheppaigholhoojabfaapnhb）——1 万用户

研究人员指出，30 款扩展共用相同的内部结构、JavaScript 逻辑、权限配置与后端基础设施。

这些恶意浏览器插件并未在本地实现任何 AI 功能，而是通过全屏 iframe 加载远程域名内容，以此对外提供所谓“AI 服务”。 

这种模式本身就存在极高风险：攻击者可随时修改扩展逻辑，无需推送更新即可改变行为（类似微软 Office 插件机制），从而绕过应用商店的重新审核。 

在后台，这些扩展利用 Mozilla 的 Readability 库，从用户访问的网页中提取内容，包括敏感的登录认证页面。其中15 款扩展专门针对 Gmail 数据，通过在 mail.google.com 页面加载阶段（document_start）运行专用脚本并注入界面元素，实现窃取行为。

该脚本直接从 DOM 读取可见邮件内容，并通过 .textContent 持续提取邮件会话文本。研究人员强调，even 邮件草稿也可被完整窃取。 

当用户触发 AI 辅助回复、摘要生成等 Gmail 相关功能时，提取到的邮件内容会传入扩展逻辑，并上传至攻击者控制的第三方后端服务器。这将导致邮件正文及相关上下文数据被传出设备，脱离 Gmail 安全边界，上传至远程服务器。 

这些扩展还内置远程触发的语音识别与转录功能，通过 Web Speech API 实现录音并回传结果。根据获取的权限不同，扩展甚至可以窃取受害者所处环境的对话内容。 

研究人员为此发出安全建议：建议用户及时进行自查，如确认设备已被感染，应立即重置所有账号密码。