Github 账号被盗了

对不起，是我太蠢了

起初是我在 moonlight-android 下提交了一个 Issue

然后有个人光速回复了我一条消息，让我下载一个 fix.rar 文件，我仅仅是在 Windows 上解压了下来

里面大概有 ranlib 相关的文件，我没怎么在意

随即那人便删除了回复，我都以为是他发错地方了

然后今天发现 Github 账号无法登录了

Github 开启了 2FA ，没什么用，现在账号已经看不到数据了，也登录不上，也无法用邮件登录，这个账号对我来说非常重要

我现在手上唯一还有的是那个 fix.rar 文件

我提交了 github 的 support ，请问还有什么操作空间吗

然后，不要下载解压任何 RAR 文件

macOS 表示毫无压力

@Pointless 我也遇到个，顺手举报了然后还评论了个 “The reply from @PiaoR in this issue seems to be a spam or an attacking attempt, please don't follow its guidance.”

GitHub 过了一个小时就删回复封号了

看了一下，应该是 2023 年的漏洞，CVE 编号为 CVE-2023-38831 ，是针对 WinRAR 压缩软件的漏洞，BandZIP 不受影响

漏洞 POC： https://github.com/Garck3h/cve-2023-38831
原理分析： https://www.cnblogs.com/GoodFish-/p/17715977.html

主 EXE-微步沙箱检测： https://s.threatbook.com/report/file/7571e65dd7e190702dd38835595add4d15c2c268aedb3d0190462a074082b5a4
主 EXE-VT 沙箱检测： https://www.virustotal.com/gui/file/7571e65dd7e190702dd38835595add4d15c2c268aedb3d0190462a074082b5a4

https://www.mediafire.com/file/3hzk77cxvxc9nq2/fix.zip/file 这个也是今天在 github issues 上看到的

解压缩都能自动后台运行，这也太厉害（离谱）了吧？

@ReactRails 但是要修改密码、修改二次验证这些东西只拿 cookies 不行的吧？

@houzhishi 看 #40 手动运行的

x86_64-w64-ranlib.exe 是如何被运行的呢？？？

应该是盗 cookie 。这么看，感觉个人电脑安全性真的好弱，不知道 windows 和 macos 是怎么样的，反正我的 linux x11 ，任意一个软件，普通用户就能拿到浏览器的 cookie ，参考 yt-dlp 的`--cookies-from-browser firefox`参数。再加上上面看到的一个评论，如果病毒软件内置个代理，直接用你电脑 ip ，更无敌。看来最好的办法还得是自己不要乱运行不明软件

去年我的 github 账号也被盗了，收到了邮件通知，账号绑定的主邮箱被移除，之后就无法再操作 github ，我也给 support team 提交了问题，前后 3 个月，发了 20 多封邮件，最终找回来了（可能他们烦了吧，哈哈哈）。邮件提供 github 账号操作的历史截图、被盗时收到的信息截图等，希望对你有帮助。