一场旨在窃取敏感信息的大规模恶意广告活动，利用恶意GitHub仓库在全球范围内影响了近百万台消费者和企业设备。3月6日，微软威胁情报中心发布了一篇博客文章，指出此次攻击始于用户访问嵌入恶意广告重定向器的非法流媒体网站，这些网站将用户引导至一个中介网站，进而重定向至GitHub、Discord和Dropbox。

　　微软概述了此次攻击发生的三个阶段：

　　第一阶段的有效载荷托管在GitHub上，作为下一阶段有效载荷的投放器。

　　第二阶段文件用于执行系统探测，并将Base64编码的系统信息通过HTTP发送到某个IP地址进行信息外泄。收集的数据包括设备内存大小、图形细节、屏幕分辨率、操作系统和用户路径等信息。

　　第三阶段部署了多种有效载荷，具体取决于第二阶段的有效载荷。

　　大多数情况下，第三阶段的有效载荷会执行额外的恶意活动，如命令与控制（C2）操作，以下载更多文件并窃取数据。

　　Deepwatch的现场首席技术官克里斯·格雷（Chris Gray）解释说，在这种情况下，用户会访问“非法”网站，名义上是去“窃取”软件、电影和书籍，而不是合法获取它们。

　　格雷指出，这些网站本身就充斥着恶意软件。“通过访问这些网站，用户可能会遇到一些以当前系统设置、支持软件和/或业务流程无法防御的问题，”格雷说。格雷表示，安全团队必须采取多管齐下的方法，包括：有效的系统加固、适用的基于角色的访问控制、使用辅助安全应用程序、企业零信任基础实践、用户培训以及通过企业网关使用集中式浏览控制。

　　Keeper Security的安全与架构副总裁帕特里克·蒂科特（Patrick Tiquet）表示，此次攻击反映了针对凭证的威胁日益复杂，以及确保特权访问安全的重要性。

　　蒂科特说，攻击者通过恶意广告诱骗用户从GitHub下载恶意软件，从而发起多阶段攻击，包括系统侦察、持久性机制和信息窃取器以及远程访问木马的部署。“一旦进入系统，他们就可以窃取凭证、提升权限，并横向移动以攻击更多账户和系统，”蒂科特说。

　　CYE的首席信息安全官伊拉·文克勒（Ira Winkler）补充道，此次攻击依赖于人们访问盗版网站，而这是他们从一开始就不应该做的。

　　文克勒说，随后出现的问题是，为什么没有网页内容过滤器来阻止人们访问此类网站？“然后问题就变成了，为什么我们的个人用户被允许下载和安装任何类型的软件？”文克勒说，“在这两种情况下，如果公司实施良好的安全实践，包括阻止恶意和非法网站，以及不允许所有用户下载和安装软件，那么这些攻击就可以被主动预防。在人们的个人系统上，情况显然不同，但再次强调，良好的网络安全实践应该包括限制人们可以访问的网站，并确保任何用户都不能下载软件。”