近期，多名微软激活脚本（MAS）用户在 Reddit 平台反馈，其电脑突然弹出 Cosmali Loader 恶意软件感染警告。经安全研究者调查，这起攻击源于一个与合法激活地址仅差一个字母的仿冒域名，黑客利用用户手动输入命令时的疏忽，通过 PowerShell 脚本植入恶意程序，给用户设备安全带来严重威胁。

此次攻击的核心陷阱在于域名伪装。合法的 MAS 激活地址为 get.activated.win，而黑客注册的仿冒域名仅少了一个字母 “d”，即 get.activate [.] win。由于两个域名视觉相似度极高，用户在手动输入激活命令时极易出现笔误，一旦输入错误域名，系统便会自动执行隐藏在该域名下的恶意 PowerShell 脚本，进而被 Cosmali Loader 感染。

用户收到的警告信息明确提示：“你的电脑已感染名为‘cosmali loader’的恶意软件，原因是你在 PowerShell 中激活 Windows 时输错了域名，将 get.activated.win 误输为 get.activate [.] win。该恶意软件的控制面板存在安全风险，任何查看者都能获取你的电脑访问权限，请重新安装 Windows 并避免再次出错。” 作为感染佐证，提示还建议用户通过任务管理器检查可疑的 PowerShell 进程。

安全研究者 RussianPanda 证实，这些警告与 Cosmali Loader 恶意软件相关，该程序常被用作传播加密挖矿工具和 XWorm 远控木马（RAT）的载体。值得注意的是，目前尚不清楚警告信息的具体发送者，但最大可能性是善意安全研究者获取了恶意软件的控制面板权限后，主动向受感染用户发出的风险提示。此前，GDATA 公司的恶意软件分析师 Karsten Hahn 也曾记录过类似的弹出警告事件。

需要明确的是，MAS 本身是一款开源的 PowerShell 脚本集合，旨在通过 HWID 激活、KMS 仿真及 Ohook、TSforge 等限制绕过方法，自动激活 Windows 和 Office 软件，该项目托管于 GitHub 平台并公开开发。但微软始终将 MAS 认定为盗版工具，因其通过未授权方式绕过官方许可机制，无需购买正版授权即可激活软件。针对此次攻击事件，MAS 项目开发者已发出预警，提醒用户在执行任何命令前务必仔细核对，避免中招。

为防范此类因输入失误导致的恶意软件感染，安全专家给出以下建议：首先，切勿执行任何自身无法完全理解用途的远程代码；其次，陌生命令应先在沙箱等隔离环境中测试，确认安全后再使用；此外，尽量避免手动重复输入复杂命令，可通过复制粘贴官方提供的地址减少笔误风险。

事实上，非官方 Windows 激活工具早已成为恶意软件传播的常用载体。这类工具本身就存在绕过软件许可机制的合规风险，且缺乏安全审核，极易被黑客植入恶意代码。在此提醒用户，使用非官方激活工具不仅可能违反软件使用协议，还会将设备置于数据泄露、远程控制等安全威胁中。建议通过微软官方渠道购买正版授权，或使用合法合规的软件激活方式，同时保持系统及安全软件更新，提升设备整体防护能力。

网络安全无小事，一个字母的疏忽便可能导致设备沦陷。在数字化时代，提升安全警惕性、规范软件使用习惯，才是防范此类攻击的根本之道。