据介绍,有不法分子自 2026 年 1 月起通过一个伪装成 DNS 与子域名扫描工具的 Go 语言模块,通过代码托管平台 GitHub 向开发者及用户投放远程访问木马(RAT)、信息窃取器和加密货币挖矿程序等多种 Windows 恶意软件。 Socket 研究团队最初追踪到的恶意 Go 模块位于 github [.]com / kaleidora / dnsub-scanning-tool。 该模块的 README 文档指向了一个名为 dnsub 的合法开源子域名枚举项目,但发布的包却位于不同的 GitHub 命名空间下,以此作为掩护。其包元数据显现出明