Noodlophile Stealer：显而易见的静悄悄的威胁

当人工智能彻底改变从艺术到自动化等各个领域时，网络犯罪分子也找到了新的视角来利用这种魅力。一种名为“Noodlophile Stealer”的恶意软件已在野外出现，它伪装成尖端的人工智能软件，诱骗毫无戒心的用户。

Noodlophile Stealer 是什么？

Noodlophile Stealer 是一款信息收集恶意软件，伪装成用于生成图像和视频的合法 AI 工具。该恶意软件以精巧的营销活动和令人信服的用户界面为幌子，诱骗用户下载，使其误以为用户正在访问下一代内容创作平台。安装后，它会悄悄窃取浏览器密码、加密货币钱包数据和其他用户隐私信息。

该恶意软件似乎出自一位越南开发者之手，该开发者在GitHub上自称是“热情的恶意软件开发者”。他的账户创建于 2025 年 3 月，与该恶意活动兴起的时间线相吻合。

应对网络犯罪的不同方法

与传统的网络钓鱼方法或破解软件网站不同，Noodlophile 背后的运营者采用了更为复杂且以社交为导向的策略。他们通过精心设计的 Facebook 页面和热门社交媒体帖子来推广这些以人工智能为主题的虚假平台。其中一些页面，例如“Luma Dreammachine AI”和“gratistuslibros”，通过宣传免费且强大的人工智能工具的帖子吸引了数万次浏览。

这些帖子旨在吸引那些正在寻找创新视频或图像编辑工具的用户。一旦用户点击，就会被引导至类似 CapCut AI 等合法服务的仿冒网站，鼓励他们上传内容或提示。

从下载到感染

用户与这些欺骗性平台互动后，会被提示下载所谓的AI生成内容。然而，他们收到的不是有用的输出，而是一个名为VideoDreamAI.zip的 ZIP 文件。文件里是一个伪装成误导性文件名的可执行文件，例如Video Dream MachineAI.mp4.exe 。

该文件启动后，看似运行了真正的视频编辑程序，很可能使用了与 CapCut 相关的真实二进制文件。但在后台，它会加载一系列其他恶意软件，最终部署 Noodlophile Stealer。

感染过程是多层的：一个名为 CapCutLoader 的 .NET 加载器激活一个名为srchost.exe的基于 Python 的有效负载，从而完成恶意软件的部署。

Noodlophile 能做什么？

一旦进入受害者的机器，Noodlophile Stealer 便开始提取数据。它的目标是网络浏览器凭证、登录详细信息以及加密货币钱包信息——任何可能被利用或进一步利用的信息。在某些情况下，该恶意软件会捆绑其他工具，例如XWorm等远程访问木马，使攻击者能够长期控制受感染的系统。

这种隐秘的行为和强大的数据窃取能力相结合，使得 Noodlophile 成为一个可怕的威胁，尤其是考虑到它看似无害的外表。

宏观视角：人工智能是一把双刃剑

虚假AI工具作为网络攻击诱饵的兴起并非Noodlophile的独有现象。类似的策略此前也曾被使用过。2023年，Meta报告称，他们删除了超过1000个与利用AI品牌的恶意软件攻击活动相关的URL，其中包括对OpenAI ChatGPT的引用。这些链接是通过可信社交网络传播恶意软件的更广泛行动的一部分。

人工智能技术的吸引力对恶意行为者来说具有强大的诱惑力，他们知道用户渴望探索新的工具。这种渴望，加上有限的网络安全意识，为感染创造了完美的条件。

含义和注意事项

Noodlophile Stealer 的出现凸显了网络犯罪的本质正在不断演变。它不再仅仅局限于可疑电子邮件或可疑下载。攻击者现在利用值得信赖的社交媒体平台、专业品牌和流行的技术趋势来传播恶意软件。

对于用户来说，关键在于谨慎。在下载任何人工智能工具（或者任何软件）之前，务必验证其来源的合法性。查看官方网站，寻找可靠的评论，并对任何好得令人难以置信的信息保持警惕，可以避免重大麻烦。

安全研究人员还建议各组织更新其威胁检测工具，以识别像 Noodlophile 这样的新恶意软件家族，尤其是那些不依赖传统持久性或反分析技术的恶意软件家族。

最后的想法

Noodlophile Stealer 提醒我们，网络威胁会随着科技趋势不断演变。虽然它的名字听起来无害，但其功能却大相径庭。随着人工智能深度融入我们的日常工具，保持信息灵通和警惕是避免成为此类欺骗活动受害者的最佳方法。