八进制窃密木马：结构化窃取 VPN 配置、密码及浏览器 Cookie 的新型威胁

网络安全研究人员在GitHub发现一款伪装成合法取证工具的进制结构及浏新型凭证窃取程序——Octalyn Stealer（八进制窃密木马） ，该恶意软件专门窃取VPN配置、窃密取浏览器凭证及加密货币钱包等敏感数据。木马密码

双重伪装的化窃高级威胁

这款于2025年7月首次被发现的恶意软件，表面宣称是配置教育研究工具，高防服务器实则具备完整的览器数据窃取与渗透功能。其采用C++核心负载与Delphi构建界面的型威胁双语言架构，使不同技术水平的进制结构及浏攻击者都能轻易使用
。

该木马仅需Telegram机器人令牌和聊天ID即可生成有效载荷，窃密取大幅降低了网络犯罪的模板下载木马密码技术门槛
。部署后 ，化窃木马通过多重机制实现持久化运行，配置并将窃取数据按结构化目录分类存储，览器便于后续处理。型威胁

商业级数据窃取架构

Cyfirma研究团队在常规威胁狩猎中发现
，进制结构及浏该木马具有以下典型特征：

在GitHub仓库维持取证工具伪装 ，包含教育免责声明完整集成非授权数据收集所需组件专门针对比特币、建站模板以太坊
、莱特币和门罗币等加密货币钱包为每类加密货币创建独立子目录，系统化窃取钱包地址、私钥、助记词及配置文件

除金融数据外，该木马还全面窃取Chrome、Edge和Opera等浏览器的密码
、源码下载Cookie 、自动填充数据及浏览历史记录
。

感染机制与数据组织

木马感染流程始于Build.exe的执行，该组件作为高级投放器
 ：

调用Windows API函数GetTempPathA定位系统临时目录按照getenv("TEMP") + "\\Octalyn"模式创建工作文件夹通过静默模式循环调用ShellExecuteA释放三个嵌入式可执行文件

主载荷TelegramBuild.exe会立即创建包括"加密钱包"、"浏览器扩展"、"VPN"
、"游戏"和"社交应用"在内的亿华云精细目录结构 ，体现其商业化设计特征。

浏览器数据窃取技术

该木马采用先进的浏览器数据提取技术
：

针对Chrome Cookie存储路径"\\Google\\Chrome\\User Data\\Default\\Network\\Cookies"使用Chrome本地加密密钥解密存储的Cookie对Edge和Opera浏览器执行类似操作

数据收集完成后，木马通过PowerShell命令将所有信息压缩为ZIP存档，再通过TLS加密连接传输至攻击者控制的Telegram频道api.telegram.org。服务器租用