朋友请尽快放弃你的Cursor教育认证！

大家好，这里是架构资源栈！点击上方关注，添加“星标”，一起学习大厂前沿架构！

前言

原文整理自火绒安全实验室 · 发布于 2025年5月30日

祝大家端午安康，小D要好好准备过几天的高考了！

近期，火绒安全实验室在日常安全监测中发现：一款伪装成“Cursor教育认证破解工具”的程序，实则隐藏了精心设计的恶意代码，已经形成完整攻击链条，专门针对贪图免费服务的开发者进行精准打击。该事件的背后，是一起以“薅羊毛”为诱饵的典型投毒攻击，相关攻击已被证实与知名信息窃取团伙RedLine Stealer存在高度关联。

警示提醒：请广大用户切勿使用非官方来源的工具和破解程序，尤其涉及账号认证、系统权限等敏感操作。目前，火绒安全产品已可拦截查杀该恶意样本，建议及时更新病毒库加强防护。

一、背景事件回顾：Cursor教育认证的政策漏洞引发黑产盯梢

Cursor是一款集成AI编程功能的现代IDE，旨在提升开发效率，深受技术人员青睐。为了推广，该平台曾推出“学生一年免费计划”，但明确排除中国大陆用户。与此同时，Cursor的前端校验机制曾存在绕过漏洞，使得一些技术用户尝试开发破解工具，以获取不属于自己的教育认证权益。

这种行为很快被黑客组织盯上——他们在GitHub发布所谓的“Cursor教育认证绕过工具”，实则暗藏木马程序。一旦用户下载使用，不仅无法享受到所谓“福利”，反而沦为攻击目标。

攻击样本项目地址：

https://github.com/ryan20201123/Cursor-free-student

GitHub项目表面看似正常，甚至包含实际可用功能，但其底层隐藏了一系列攻击组件，并借助项目Release分发植入病毒，诱导用户执行。

更值得注意的是，该黑客团伙不仅投毒Cursor项目，还将“Magisk”等热门开源项目作为诱饵，显然其目标受众瞄准了“技术极客圈”。

二、样本拆解分析：从GitHub到系统持久化，一条完整攻击链

本次攻击样本结构清晰，采用多层载荷，经过混淆与内存加载等技术手段逃避检测。其核心流程如下图所示：

样本组成文件：

• lua.exe：Lua解释器，正常工具组件；
• lua51.dll：Lua 5.1的运行时库；
• Launcher.cmd：批处理脚本，负责调用解释器运行脚本；
• cli.txt：主逻辑脚本，经过混淆处理，代码量高达数万行。

cli.txt脚本混淆严重，初步分析发现其使用了AST重构绕过常规检测，并内嵌大量Base64及Hex编码字符串。

持久化机制：

脚本会将恶意程序复制到如下路径：

C:\Users\Admin\AppData\Local\ODE3

随后通过 schtasks 创建系统级计划任务，每天中午12:00触发：

• 程序路径：%SystemRoot%\ODE3.exe
• 参数文件：cli.txt
• 注册表位置：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\

三、多阶段攻击链：从Lua脚本到PE内存加载，层层递进

恶意程序下一步通过远程拉取64位或32位系统对应的payload：

• https://raw.githubusercontent.com/tym884/test/refs/heads/mast...
• https://raw.githubusercontent.com/tym884/test/refs/heads/mast...

这些恶意脚本利用TEA加密算法进行内容保护，运行后动态解密并加载下一阶段代码。

第二阶段中，代码采用LZSS算法进行自解压，并通过修改内存属性实现代码跳转。

随后进入主逻辑函数 main1，其内部逻辑包括：

• 重定位表修复；
• IAT表修复（动态加载DLL）；
• 调用 fn_main2 进入下一阶段；
• 解密并连接远程C&C服务器（217.119.129.101）。

四、攻击目标：高权限提权与进程注入

攻击者使用Token提权后，将恶意代码注入系统核心进程 svchost.exe，注入过程采用“天堂之门”（Heaven's Gate）技术，混合使用x86/x64指令过检测。

最终注入的窃密模块与RedLine Stealer高度相似，与我们此前分析的“Rhadamanthys木马无痕窃密”事件技术架构基本一致。

五、附录信息

C&C服务器地址：

217.119.129.101

相关样本Hash：

结语：安全不是福利游戏，贪图小利可能引火上身

本次“Cursor破解工具”事件再次印证了一个古老的真理：天下没有免费的午餐。以技术绕过之名，“薅羊毛”式的尝试最终却给黑客提供了入口，一步步滑入数据被窃、系统失控的深渊。

建议开发者务必：

• 始终从官网下载与更新软件；
• 不运行来源不明的脚本与破解工具；
• 使用安全软件并定期更新病毒库；
• 尤其对计划任务、注册表、启动项进行监控审查。

若你正在尝试某些“灰色操作”，请回头是岸。

本文由博客一文多发平台 OpenWrite 发布！