FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

恶意软件伪装GitHub桌面版诱导下载

北极狼(Arctic Wolf)安全研究人员发现了一种针对西欧用户的新型恶意软件活动，该活动通过谷歌广告传播并采用复杂规避技术。这款名为GPUGate的恶意软件通过伪造的GitHub Desktop安装程序分发有效载荷，攻击者利用可信平台绕过传统检测方法，诱使用户下载恶意软件。

研究人员在博客中指出："2025年8月19日，威胁行为者利用GitHub仓库结构与谷歌付费广告，将用户引导至仿冒域名托管的恶意下载。通过在广告中嵌入特定提交链接，攻击者使下载看似来自官方来源，有效规避了用户的常规检查。"

精心设计的恶意广告链

北极狼网络安全运营中心(cSOC)发现该恶意软件通过谷歌广告分发，这些广告被精心设计成看似合法，使用模仿真实GitHub工作流程的特定提交链接。用户点击后会被重定向到托管恶意GitHub Desktop安装程序的虚假域名。

研究人员警告称，该活动旨在通过诱骗通常拥有更高网络权限的IT人员下载伪装成GitHub桌面版的恶意软件，从而渗透组织，可能导致凭证窃取、信息泄露甚至勒索软件部署。

GPU门控解密逃避检测

该恶意软件以约128MB大小的微软软件安装程序(MSI)文件形式分发，采用GPU门控解密机制，只有在检测到系统存在真实GPU时才会解密有效载荷。研究人员指出，这种设计使GPUGate在虚拟机、自动化分析环境或性能较低的机器中保持休眠状态，极大增加了安全分析难度。

激活后，恶意软件会启动PowerShell，其参数设计用于绕过Windows执行策略，同时隐藏窗口不被用户发现。此外，它通过具有最高管理权限的计划任务实现持久化，能够在重启后继续运行并跨越用户会话。

跨平台攻击瞄准敏感数据

该活动还针对macOS设备，通过适配x64或ARM处理器的定制安装程序分发AMOS窃密程序(又称Atomic Stealer)。这款在地下论坛作为恶意软件即服务出售的信息窃取程序，能够窃取包括钥匙串密码、VPN配置、浏览器凭证、即时通讯数据、文档和加密货币钱包在内的多种敏感数据。

研究人员指出："使用的恶意广告和地理围栏专门针对欧盟国家定制。我们观察到直接针对的行业包括信息技术领域工作者。"为加强防护，北极狼建议将运行时检查与沙箱技术相结合，同时提高用户安全意识，因为GPUGate的高级规避和逼真模仿使静态防御措施效果有限。

参考来源：

Smart GPUGate malware exploits GitHub and Google Ads for evasive targeting

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）