【安全资讯】深度分析：针对软件开发者的Evelyn窃密软件活动

概要：

在当今数字化时代，软件开发环境已成为网络攻击者的高价值目标。近期，一场名为Evelyn Stealer的恶意软件活动浮出水面，其通过武器化流行的Visual Studio Code扩展生态系统，对全球软件开发者构成了严重威胁。该活动不仅窃取开发者凭证和加密货币资产，更可能将受感染的开发环境作为跳板，入侵更广泛的组织系统，凸显了供应链攻击的复杂性与危害性。

主要内容：

该攻击活动始于一个恶意的VSCode扩展。一旦安装，它会伪装成合法的Lightshot.dll组件，通过PowerShell下载并执行名为“runtime.exe”的第二阶段注入器。这个注入器采用进程镂空技术，将加密的最终载荷注入到合法的Windows进程“grpconv.exe”中，从而启动Evelyn Stealer。

Evelyn Stealer采用了多层反分析技术以逃避检测，包括检测虚拟机环境、调试器以及分析沙箱。其核心功能是通过下载的“abe_decrypt.dll”组件，对浏览器进行DLL注入，从而窃取保存的密码、Cookie、自动填充数据等敏感信息。恶意软件通过精心构造超过15个命令行参数启动浏览器，以绕过安全沙箱、禁用扩展并隐藏其活动。

除了浏览器数据，该恶意软件还广泛收集系统信息，包括用户名、运行进程、VPN配置、Wi-Fi密码、剪贴板内容以及加密货币钱包文件。所有窃取的数据最终被压缩打包，通过FTP协议上传到攻击者的命令与控制服务器。

此次攻击活动技术成熟，结合了供应链投毒、多阶段载荷、强加密和复杂的反检测机制，成功利用了开发者对常用工具的信任。受影响的组织主要是那些依赖VSCode及其扩展进行软件开发，并且开发者拥有访问生产系统、云资源或数字资产权限的科技公司和IT团队，事件可能导致严重的凭证泄露和财产损失。