这种恶意软件采用多阶段感染过程。一切始于包含看似合法发票附件的网络钓鱼电子邮件，当这些附件被打开时，会触发一个恶意宏，从而启动感染链。

一旦安装成功，SHELBY 会在后台悄悄运行，收集包括登录凭据、财务数据和患者记录等敏感信息，然后将这些信息泄露给其操控者。

SHELBY 特别值得注意的地方在于，它滥用了 GitHub 的基础设施来进行命令与控制（C2）操作。该恶意软件会在 GitHub 上创建并访问私有存储库，其操控者将命令以 Base64 编码字符串的形式存储在看似无害的文本文件中。

这种方式使得恶意软件能够将其通信混入发往 GitHub 域名的合法 HTTPS 流量中，这让传统的安全工具更难检测到它，因为传统安全工具通常不会阻止对广泛使用的开发平台的访问。

Elastic 的分析师在 2025 年 3 月初调查多家医疗保健提供商发生的一系列数据泄露事件时发现了 SHELBY 。他们的分析显示，在被发现之前，该恶意软件已在大约三个月的时间里未被察觉，这凸显了它复杂的逃避检测能力。

研究人员指出，这代表了一种日益增长的趋势，即威胁行为者利用受信任的平台和服务来托管恶意基础设施。

SHELBY 造成的影响巨大，至少有 17 个组织证实发生了与该恶意软件相关的数据泄露事件。被泄露的数据包括个人身份识别信息、医疗记录以及金融账户详细信息。

几家受影响的组织已根据监管要求，开始通知客户可能存在的数据泄露情况。

（来源：安全客）