越南黑客组织依托Polygon公链，通过GitHub部署历经16代迭代的LuaJIT恶意程序

攻击的规模尤为惊人：在超过 47 个 GitHub 账号中已确认存在 600 余个独有的恶意 ZIP 压缩包。截至 2026 年 3 月初，其中至少 25 个账号仍处于活跃状态，并持续投放恶意载荷。攻击者依托高迷惑性的社会工程学诱饵锁定目标。GitHub 上的恶意仓库经过精心伪装，假冒各类 SaaS 工具破解版浏览器扩展、游戏外挂、开发者工具及成人内容资源。
每个仓库均包含一个 ZIP 压缩包，一旦解压便会启动LuaJIT 加载器链条。追踪该活动的 ESET 研究人员指出，此次攻击中已出现16 代不同的混淆器版本，涵盖从 Lua/Agent.Z 到 Lua/Agent.BT 等多个变种，足见该组织技术迭代速度极快。
为规避传统网络防御机制，该加载器并未对 C2 服务器地址进行硬编码，而是将Polygon 主网用作去中心化的 “通信簿”。
该恶意软件通过调用 Polygon 主网智能合约中的获取函数解析 C2 服务器地址。攻击者只需通过链上交易更新存储的 IP，即可瞬时切换攻击基础设施。这一创新手段实现了“更换基础设施无需重新部署恶意程序”，让该僵尸网络在面对域名关停操作时具备极强的抗打击能力。
与 C2 服务器建立连接后，加载器会从 GitHub 的 “死信箱” 仓库拉取最终载荷。该载荷需经过四层密集解密（十六进制、异或、Base64URL、AES-ECB），解密后显现为StealC 信息窃取木马。
已监测到的 StealC 窃取能力——
    凭据窃取：盗取浏览器中保存的密码与自动填充数据。
    会话劫持：收集 Cookie 与身份认证令牌，绕过多因素认证（MFA）。
    系统侦察：采集详细系统信息，定向检索特定文件路径并窃取数据。
    载荷投递：可通过 PowerShell 或 msiexec 下载其他恶意模块。
该攻击活动的基础设施高度依赖高抗封杀托管服务商。研究人员发现：在 48 个加载器 IP 与全部窃取程序 IP 中，有 37 个归属 AS 207957（Serv.host Group Ltd）。
尽管 URLhaus 在 2026 年 1 月首次监测到该活动，但取证分析表明，其已在未被发现的情况下运行约 10 个月。GitHub 仓库中出现的越南语特征与特定命名规范，均指向越南语系黑客组织是这一全球性信息窃取团伙的主要策划者。
安全建议：用户从 GitHub 下载 “破解版” 软件或扩展程序时需高度警惕，即便外观正规的仓库，也可能隶属于这套庞大的自动化感染体系。