Как обмануть хакера? Дай ему вредоносный эксплойт с тысячами коммитов
NewsMakerКогда репозиторий — это троян, а коммит — дымовая завеса для установки стилера.
Недавно раскрытая вредоносная кампания использует GitHub как ловушку для специалистов по безопасности, геймеров и даже других хакеров , распространяя зловредный код под видом утилит, читов и эксплойтов. За банальными репозиториями скрывается тщательно продуманная кампания с сотнями проектов, содержащих бэкдоры, активируемые в момент сборки или запуска кода.
О масштабах операции стало известно благодаря исследованию специалистов из Sophos, к которым обратился клиент для анализа угрозы, связанной с удалённым доступом — так называемым Sakura RAT. Хотя сам по себе код Sakura RAT оказался неработающим, в его проекте Visual Studio была обнаружена команда PreBuildEvent, которая автоматически загружала и устанавливала вредоносное ПО на компьютеры, пытавшиеся скомпилировать проект.
Анализ привёл к GitHub-аккаунту под ником «ischhfd83», связанному напрямую или через подставных лиц с ещё 141 репозиторием. Из них 133 содержали закладки. За безобидной активностью скрывался злонамеренный план — одурачить пользователей и внедрить вредоносное ПО под видом полезных инструментов.
Ассортимент вредоносных методов варьируется от Python-скриптов с запутанным кодом до вредоносных .scr-файлов, маскирующихся под заставки, и JavaScript-файлов с зашифрованной логикой. Многие репозитории используют трюки с Unicode и автоматизацию Visual Studio для запуска закладок без ведома пользователя.
Хотя часть репозиториев выглядит заброшенной с конца 2023 года, многие из них до сих пор активны, с коммитами, появляющимися буквально за считаные минуты до начала анализа. Эти коммиты сгенерированы полностью автоматически — так создаётся иллюзия развития и активности, повышающая доверие к проекту. В одном из репозиториев обнаружено почти 60 тысяч коммитов при дате создания в марте 2025 года. В среднем — 4 446 на проект.
У каждого репозитория — по три участника, и не более девяти проектов связано с одним аккаунтом. Такой подход позволяет рассеять внимание и избежать быстрой блокировки со стороны GitHub.
Привлечение жертв осуществляется через видео на YouTube, обсуждения в Discord и посты на киберпреступных форумах. Сам Sakura RAT не так давно получил внимание в прессе, что вызвало интерес у новичков в сфере кибербезопасности, решивших испытать код на практике. Именно они и становятся основной мишенью.
При попытке запустить или собрать код запускается многоступенчатый процесс заражения. Сначала активируются VBS-скрипты, после чего PowerShell загружает зашифрованный компонент с заранее заданного URL. Затем скачивается архив 7zip с GitHub и запускается приложение Electron под именем «SearchFilter.exe».
Внутри этого приложения находится обфусцированный файл «main.js», который содержит логику для сбора информации о системе, выполнения команд, отключения Windows Defender и загрузки новых вредоносных компонентов.
На финальной стадии загружаются известные инструменты — Lumma Stealer , AsyncRAT , Remcos RAT . Все они обладают широкими возможностями для кражи данных и управления системой.
Хотя основной аудиторией остаются начинающие хакеры, интересующиеся вредоносными фреймворками, набор приманок охватывает куда более широкий круг: от геймеров и студентов до специалистов по кибербезопасности. Распространяются фальшивые сборщики эксплойтов, модификаторы, читы и утилиты для «тестов на проникновение».
С учётом открытого характера платформы GitHub и отсутствия предварительной модерации, крайне важно перед сборкой внимательно проверять содержимое исходников и особенно автоматические действия, прописанные в сценариях до и после сборки.
Недавно раскрытая вредоносная кампания использует GitHub как ловушку для специалистов по безопасности, геймеров и даже других хакеров , распространяя зловредный код под видом утилит, читов и эксплойтов. За банальными репозиториями скрывается тщательно продуманная кампания с сотнями проектов, содержащих бэкдоры, активируемые в момент сборки или запуска кода.
О масштабах операции стало известно благодаря исследованию специалистов из Sophos, к которым обратился клиент для анализа угрозы, связанной с удалённым доступом — так называемым Sakura RAT. Хотя сам по себе код Sakura RAT оказался неработающим, в его проекте Visual Studio была обнаружена команда PreBuildEvent, которая автоматически загружала и устанавливала вредоносное ПО на компьютеры, пытавшиеся скомпилировать проект.
Анализ привёл к GitHub-аккаунту под ником «ischhfd83», связанному напрямую или через подставных лиц с ещё 141 репозиторием. Из них 133 содержали закладки. За безобидной активностью скрывался злонамеренный план — одурачить пользователей и внедрить вредоносное ПО под видом полезных инструментов.
Ассортимент вредоносных методов варьируется от Python-скриптов с запутанным кодом до вредоносных .scr-файлов, маскирующихся под заставки, и JavaScript-файлов с зашифрованной логикой. Многие репозитории используют трюки с Unicode и автоматизацию Visual Studio для запуска закладок без ведома пользователя.
Хотя часть репозиториев выглядит заброшенной с конца 2023 года, многие из них до сих пор активны, с коммитами, появляющимися буквально за считаные минуты до начала анализа. Эти коммиты сгенерированы полностью автоматически — так создаётся иллюзия развития и активности, повышающая доверие к проекту. В одном из репозиториев обнаружено почти 60 тысяч коммитов при дате создания в марте 2025 года. В среднем — 4 446 на проект.
У каждого репозитория — по три участника, и не более девяти проектов связано с одним аккаунтом. Такой подход позволяет рассеять внимание и избежать быстрой блокировки со стороны GitHub.
Привлечение жертв осуществляется через видео на YouTube, обсуждения в Discord и посты на киберпреступных форумах. Сам Sakura RAT не так давно получил внимание в прессе, что вызвало интерес у новичков в сфере кибербезопасности, решивших испытать код на практике. Именно они и становятся основной мишенью.
При попытке запустить или собрать код запускается многоступенчатый процесс заражения. Сначала активируются VBS-скрипты, после чего PowerShell загружает зашифрованный компонент с заранее заданного URL. Затем скачивается архив 7zip с GitHub и запускается приложение Electron под именем «SearchFilter.exe».
Внутри этого приложения находится обфусцированный файл «main.js», который содержит логику для сбора информации о системе, выполнения команд, отключения Windows Defender и загрузки новых вредоносных компонентов.
На финальной стадии загружаются известные инструменты — Lumma Stealer , AsyncRAT , Remcos RAT . Все они обладают широкими возможностями для кражи данных и управления системой.
Хотя основной аудиторией остаются начинающие хакеры, интересующиеся вредоносными фреймворками, набор приманок охватывает куда более широкий круг: от геймеров и студентов до специалистов по кибербезопасности. Распространяются фальшивые сборщики эксплойтов, модификаторы, читы и утилиты для «тестов на проникновение».
С учётом открытого характера платформы GitHub и отсутствия предварительной модерации, крайне важно перед сборкой внимательно проверять содержимое исходников и особенно автоматические действия, прописанные в сценариях до и после сборки.