github 里面 issue 回复中的病毒

之前在 github 中提的 issue 今天有人回了，然后里面有一个链接：

1. Win+R 打开终端
2. ctrl+V 复制一段代码
3. 按下回车，执行代码

好像每个 issue 下面都回复了，这个其中一个： https://github.com/viest/php-ext-xlswriter/issues/548 issus 中的链接： https://newrides.es/captha/cap/

回复链接中域名虽然是个英文站，但是联系地址是河南，手机号也是河南的，这是中国人搞中国人……

幽默的是这段代码实际上在默认配置下无法执行成功，因为 TLS 连接错误。 手工、控制地运行下载、解密代码，得到 walkbutter.dll ，是混淆过的 .NET 程序，并且 Defender 认为是 Trojan:Win32/Wacatac!H!ml 微软的百科是 https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Trojan%3AWin32%2FWacatac.H!ml 从语焉不详的描述看来，应该是勒索软件？以上信息已经 report to GitHub. 至于域名，主页看起来是一个娱乐公司，我觉得最简单的解释是这个网站是受害者（被感染病毒）。

另外那个网站很明显是西班牙语的，比如从 .es 顶级域名可以推断和西班牙有关系，浏览器也可能会问要不要从西班牙语翻译。

我遇到过好几次钓鱼的 Issue ，有些很明显的比如说我项目有安全漏洞，给个 App 链接授权一大堆 Github 读写权限。。 但是这类有问题的邮件放着一两天 Github 就会主动删除掉。

前一阵子有过类似的，不过是在 tg Window 网络代码分析 | 请不要轻易在自己电脑尝试 https://fex.com/t/1107559 11 楼贴的链接有详细分析