RU-APT-ChainReaver-L 劫持可信网站与GitHub仓库，发动大规模跨平台供应链攻击

一场复杂精密的网络威胁正在蔓延，攻击者通过被篡改的镜像网站与 GitHub 代码仓库，向多个操作系统平台用户投递恶意软件。

这项代号为 RU-APT-ChainReaver-L 的攻击行动，是近期曝出的最精心策划的供应链攻击之一，同时影响 Windows、macOS 及 iOS 平台。

该行动运用了多项高级规避技术，包括使用有效证书进行代码签名、构造欺骗性重定向链，以及通过合法云服务分发恶意软件，传统安全系统极难检测。

攻击基础设施规模空前
该行动的基础设施展现出惊人的规模与复杂性。攻击者已入侵两家主流文件镜像服务——Mirrored.to 与 Mirrorace.org，二者被全球大量软件下载网站广泛使用。

通过在上述平台注入恶意代码，攻击者将可信基础设施转化为信息窃取恶意软件的投递通道。当用户尝试通过这些被入侵服务下载文件时，请求会被导向多个中间跳转页面，这些页面在保持外观合法性的同时，专门设计用以规避安全检测。

发现与溯源
GRAPH 分析师在调查暗网市场上出现的大批用户凭证时，首次识别出这一攻击活动。研究团队将这些被盗账户追溯至一个已活跃数月、高度协同的感染行动。

通过其扩展检测与响应平台及威胁狩猎行动，GRAPH 研究人员绘制出覆盖 逾 100 个域名 的攻击基础设施图谱，其中包括命令与控制服务器、感染页面及重定向跳板。

该行动的操控者持续更新其工具与基础设施，以极短周期修改恶意软件特征码与投递方式，以规避杀毒软件检测。

针对不同操作系统的攻击手法
攻击手法因受害者操作系统而异：

• Windows 用户：被重定向至 MediaFire、Dropbox 等云存储服务，其中存放着受密码保护的压缩包，内含已签名的恶意软件，在安全软件眼中看似合法。
  
  
• macOS 用户：遭遇 ClickFix 攻击，欺骗性页面诱骗用户手动执行终端命令，从而下载并安装 MacSync Stealer 窃密软件。
  
  
• iOS 用户：被引导至苹果 App Store 中的欺诈性 VPN 应用，这些应用随后会对其设备发起钓鱼攻击。
  

GitHub 武器化与恶意软件能力
该行动对 GitHub 的利用，展现了攻击者对安全团队盲点的深刻理解。

GRAPH 研究人员发现，攻击者共入侵 50 个 GitHub 账户——其中许多注册于数年前，拥有成熟的活动历史——用以托管恶意仓库。

这些账户主要于 2025 年 11 月 被劫持，随后被改造为分发破解软件与激活工具的平台，专门针对搜索盗版软件的用户。



该 Windows 恶意软件为信息窃取器，具备以下功能：捕获屏幕截图、提取加密货币钱包数据、盗取即时通讯软件数据库及浏览器凭据，同时复制桌面、文档和下载文件夹中的文件。

GRAPH 分析师指出，捕获的样本中包含来自多家公司的有效代码签名证书，这极大增加了检测与防御的难度。



macOS MacSync Stealer 采用无文件式内存执行，窃取的数据包括：浏览器数据、Ledger 与 Trezor 等加密货币钱包、SSH 密钥及 AWS 凭据。

组织应部署以下多层防御策略：

用户教育是关键防线：由于感染高度依赖社会工程学，提升用户安全意识至关重要。

终端多层防护：部署具备异常进程行为与可疑文件访问模式检测能力的 EDR 系统。

网络监控重点：聚焦文件共享服务及新注册域名的连接行为。

阻断直连互联网：用户系统下载请求应强制路由至文件分析平台，通过静态分析、动态分析及机器学习进行深度检测。