• 發布單位:TWCERT/CC
• 更新日期:2026-04-30
• 點閱次數:199

韓國電腦網路危機處理暨協調中心（KrCERT/CC）的威脅狩獵分析團隊近期發布名為「Operation SearchStrike」報告。該報告指出，攻擊者正利用搜尋引擎最佳化中毒(SEO Poisoning） 技術，在搜尋引擎中推廣偽冒GitHub 儲存庫，藉此散布惡意軟體。此攻擊主要鎖定具備企業內部高權限的技術人員，旨在以此作為跳板，進而發動全組織規模的橫向移動與滲透攻擊。

這波攻擊主要是透過 SEO Poisoning技術操弄搜尋排名，把內含惡意MSI安裝檔的假冒 GitHub 儲存庫推至搜尋結果首頁，常見偽冒程式像是 Tftpd64、WinDbg、PsExec、Postman、USMT 這類網管與維運人員常用的工具，進行供應鏈層級的冒充攻擊，如圖1所示。一旦受害者誤下載並執行，系統會在背景植入以 Node.js 開發的惡意程式，並利用 Ethereum 智慧合約作為命令與控制(C2)通訊管道。由於採用去中心化機制，可降低對固定網域或 IP 的依賴，使傳統防火牆封鎖效果有限，進而增加偵測、阻擋與溯源的難度。

圖1：SEO Poisoning操控搜尋引擎排名。資料來源：KrCERT/CC

為防禦此類高隱蔽性的SEO攻擊，KrCERT/CC建議企業與技術人員採取以下防禦策略：

1. 強化供應鏈來源控管：企業應嚴格限制軟體下載途徑，確保僅透過Microsoft Store、官方網站或經官方認證的 GitHub 儲存庫取得工具。針對 GitHub 專案，使用者於下載前必須執行「盡職調查（Due Diligence）」，仔細辨識儲存庫的星號（Stars）數量、貢獻者歷史紀錄（Contributors）及帳號建立日期，以排除近期建立且缺乏社群信任基礎的偽造專案。
   
2. 落實入侵指標（IoC）清查：企業資安團隊可參照報告提供的IoC，針對權組織端點進行深度掃描，清查重點包含檔案雜湊值（Hash）、異常路徑、針對區塊鏈節點的異常請求等。
   
3. 疑似感染應變程序：若於內部環境偵測到疑似感染跡象，應立即啟動資安應變機制，優先隔離受影響主機以防止攻擊者進一步橫向攻擊，並針對受影響帳號進行憑證重設與權限審核，防堵潛在的擴散風險。

KrCERT/CC針對此次攻擊提供入侵指標（IoC）如下：

C2 Domain：

jariosos[.]com

hayesmed[.]com

regancontrols[.]com

salinasrent[.]com

justtalken[.]com

mebeliotmasiv[.]com

euclidrent[.]com

o-parana[.]com

palshona[.]com

aurineuroth[.]com