網絡安全研究人員在GitHub發現一款偽裝成合法取證工具的新型憑證竊取程序——Octalyn Stealer（八進制竊密木馬），該惡意軟件專門竊取VPN配置、瀏覽器憑證及加密貨幣錢包等敏感數據。

雙重偽裝的高級威脅

這款于2025年7月首次被發現的惡意軟件，表面宣稱是教育研究工具，實則具備完整的數據竊取與滲透功能。其采用C++核心負載與Delphi構建界面的雙語言架構，使不同技術水平的攻擊者都能輕易使用。

該木馬僅需Telegram機器人令牌和聊天ID即可生成有效載荷，大幅降低了網絡犯罪的技術門檻。部署后，木馬通過多重機制實現持久化運行，并將竊取數據按結構化目錄分類存儲，便于后續處理。

商業級數據竊取架構

Cyfirma研究團隊在常規威脅狩獵中發現，該木馬具有以下典型特征：

• 在GitHub倉庫維持取證工具偽裝，包含教育免責聲明
• 完整集成非授權數據收集所需組件
• 專門針對比特幣、以太坊、萊特幣和門羅幣等加密貨幣錢包
• 為每類加密貨幣創建獨立子目錄，系統化竊取錢包地址、私鑰、助記詞及配置文件

除金融數據外，該木馬還全面竊取Chrome、Edge和Opera等瀏覽器的密碼、Cookie、自動填充數據及瀏覽歷史記錄。

感染機制與數據組織

木馬感染流程始于Build.exe的執行，該組件作為高級投放器：

• 調用Windows API函數GetTempPathA定位系統臨時目錄
• 按照getenv("TEMP") + "\\Octalyn"模式創建工作文件夾
• 通過靜默模式循環調用ShellExecuteA釋放三個嵌入式可執行文件

主載荷TelegramBuild.exe會立即創建包括"加密錢包"、"瀏覽器擴展"、"VPN"、"游戲"和"社交應用"在內的精細目錄結構，體現其商業化設計特征。

瀏覽器數據竊取技術

該木馬采用先進的瀏覽器數據提取技術：

• 針對Chrome Cookie存儲路徑"\\Google\\Chrome\\User Data\\Default\\Network\\Cookies"
• 使用Chrome本地加密密鑰解密存儲的Cookie
• 對Edge和Opera瀏覽器執行類似操作

數據收集完成后，木馬通過PowerShell命令將所有信息壓縮為ZIP存檔，再通過TLS加密連接傳輸至攻擊者控制的Telegram頻道api.telegram.org。