Исследователи из Sophos раскрыли масштабную вредоносную кампанию, в рамках которой злоумышленник размещал на GitHub десятки фальшивых репозиториев с инструментами для хакеров, геймеров и специалистов по кибербезопасности.
Приманки и автоматизация
Вредоносные репозитории включали:
- фальшивые скрипты Python с обфускацией;
- вредоносные .scr-файлы (скринсейверы);
- JavaScript с зашифрованными полезными нагрузками;
- скомпрометированные события PreBuild в Visual Studio.
Многие репозитории имитировали активность через автоматизированные коммиты — один проект набрал почти 60 000 коммитов всего за два месяца. Это создает иллюзию активности и надежности.
Жертвы натыкались на вредоносные инструменты через YouTube, Discord и хакерские форумы, где их рекламировали как взломанные читы или эксплойты.
После скачивания начиналась многоступенчатая атака:
- Выполнялся .vbs-скрипт.
- Через PowerShell загружалась полезная нагрузка с жестко закодированного URL.
- С GitHub подтягивался архив с приложением на Electron (SearchFilter.exe).
- Приложение разворачивало main.js, который отключал Defender, собирал информацию о системе, запускал команды и загружал дополнительные модули.
Среди них — инфостилеры и удаленные трояны, включая Lumma, AsyncRAT и Remcos.
На кого была нацелена атака
Целью стали:
- начинающие хакеры (скрипт-кидди);
- геймеры (в поисках читов и модов);
- специалисты по кибербезопасности (в поисках эксплойтов).
Больше интересного у нас на сайте: https://afforto.ru/