GitHub托管「猫咪监督器」实为恶意软件：伪装成YouTube休息提醒工具的新一轮供应链攻击

一名安全研究者披露了一起值得关注的开源生态安全事件：一个托管于GitHub、名为「cat-gatekeeper」的项目，以“监控YouTube使用时长并弹出橘猫提醒休息”为噱头吸引用户下载，实际上其核心文件为病毒程序。该项目在社交平台X上通过插件形式传播，目标群体主要为不熟悉代码审查的普通用户。

经溯源分析，该恶意仓库地址为 https://github.com/catgatekeeper/cat-gatekeeper 。安全研究员指出，该插件表面功能正常，用户初次接触时难以察觉异常，但其中植入的恶意代码会在后台静默执行。发帖者已就该仓库向GitHub官方提交举报，但目前尚未确认GitHub是否已采取下架或其他处置措施。安全社区担忧，该项目可能已在部分用户群体中扩散，实际感染规模尚不明确。

此事件再次凸显了开源生态中依赖第三方工具的潜在风险。开发者与普通用户需对来源不明或功能过于“贴心”的工具保持审慎，即使托管于主流平台也不等同于安全可信。安全专家建议，安装任何桌面插件或脚本前应审查其源码，对于缺乏透明度或社区背书的小型项目尤应提高警惕。