Cyber​​criminals are abusing SourceForge’s project domains to spread trojanized Office installers embedded with cryptocurrency mining tools and clipboard hijackers.

A newly uncovered malware campaign is turning SourceForge’s infrastructure into a launchpad for infection, leveraging the platform’s developer-friendly tools to trick users into downloading malicious crypto software.

According to researchers at Kaspersky, the scheme specifically targets crypto users by disguising malware as office-related downloads — complete with bloated installers, password-protected archives, and layers of obfuscation that eventually deliver a crypto miner and a ClipBanker to hijack crypto transactions.

In a blog post on Tuesday, April 8, researchers said the attackers set up a SourceForge上的假項目稱為“ OfficePackage”，看起來像從Github複製的Microsoft Office加載項。雖然項目頁面本身可能看起來很正常，但真正的陷阱wa研究人員指出，它是其自動生成的子域“ OfficePackage.sourceforge.io”。諸如俄羅斯的Yandex之類的搜索引擎已將其撿起來，當用戶訪問該頁面時，他們看到了一個帶有下載按鈕的辦公應用程序列表，實際上開始了惡意軟件感染。

yandex搜索結果頁面上顯示的惡意Microsoft Publisher軟件包的示例|資料來源：Kaspersky您可能會喜歡：有危險的加密用戶，因為Microsoft發現Stilachirat惡意軟件竊取錢包數據

單擊“假下載鏈接”在交付小型ZIP文件之前，請通過多個重定向發送用戶。但是，一旦解開拉鍊，它將擴展到一個腫的700MB安裝程序中。

啟動時，安裝程​​序會使用隱藏的腳本從GitHub中獲取更多文件，最終打開了在運行之前檢查防病毒工具的惡意軟件。如果沒有檢測到威脅，它安裝了諸如Autoit和NetCat之類的工具 - 一個腳本將系統信息發送到電報機器人，而另一個腳本則確保了加密貨幣的惡意軟件保留在系統上。雖然該活動主要試圖竊取加密貨幣資金，但研究人員警告說，感染的機器也可能會出售給其他威脅參與者。

閱讀更多：卡巴斯基警告SparkCat惡意軟件，該惡意軟件針對Android和iOS上的私鑰