⚠ 发现一个通过恶意克隆Github项目来发布恶意程序的模式。
⚠ 已向Github报告，请注意提防此类项目，切勿模仿。

模式与特征

本人开源了一款网页文本批量复制的插件 —— TreeClip [Github/ Chrome插件]

近期发现一个Readme被修改为英文版本的克隆项目，Readme中多处强调与引导至Release。

同时，Readme.md会于仓库中不停“更新”，大概一两小时一次，使得项目在Recently Updated中被置顶。
克隆项目是首个仓库，应为特地创建的新号。

访问Release可见：1. 版本号被调高，吸引下载；2. 文件被修改，尺寸变大。

下载证实为恶意程序。此类方式需要提防，尤其是被克隆后发布，原作者会展现为Contributor，实则是Release文件被偷梁换柱。此外，克隆项目可能会被Google收录，用户容易Google搜索成恶意项目并运行，需谨防中招。

恶意程序分析

来自@3az7qmfd大佬：

简单看了一下，就是 Launcher.cmd 调用 lua 来跑一个加密的lua脚本（cli.txt），主要功能可能是打包浏览器信息然后上传（历史经验猜测）

沙箱分析：https://app.any.run/tasks/844c6dc0-0ed5-45b5-9063-0a6f8b5e0e00
上传接口：http://185.170.153.243/api/YTAsODYsODIsOWQsYTEsODgsOTAsOTUsNjUsN2Qs