изображение: recraft
Эксперты по информационной безопасности из компании Sophos выявили новую схему цифрового заражения, в которой злоумышленники нацеливаются на разработчиков, любителей видеоигр и даже своих «коллег» по подполью. В ходе расследования специалисты обнаружили, что вредоносный код распространяется под видом полезных инструментов и читов через репозитории GitHub.
Суть атаки — использование вредоносных компонентов в проекте Visual Studio. Исследователи получили запрос от одного из клиентов на проверку угрозы, связанной с фальшивым инструментом удалённого управления под названием Sakura RAT, якобы свободно распространяемым через популярный кодохостинг. Представители Sophos подчёркивают, что само приложение не работает по назначению — зато запускает скрытые процессы, которые подгружают вредоносный софт, как только пользователь начнёт компиляцию.
Как установили специалисты, за подозрительной активностью стоит аккаунт с именем «ischhfd83», имеющий прямое или косвенное отношение к 141 репозиторию. Из них 133 хранили вредоносные скрипты и инструменты, что указывает на системную попытку внедрения вредоносного ПО в проекты, притворяющиеся легитимными.
Набор вредоносных компонентов варьируется: Python-скрипты с запутанным содержимым, .scr-файлы, использующие символы Unicode, зашифрованные JavaScript-загрузчики, а также манипуляции с PreBuildEvent. Отдельные проекты обновлялись в автоматическом режиме незадолго до начала анализа, что, по мнению специалистов Sophos, необходимо для имитации активности и создания видимости честной разработки.
В компании отметили, что автоматизация охватывает не только сами коммиты, но и структуру репозиториев: большинство из них насчитывает в среднем более 4 тыс. фиксаций, а в одном из проектов их оказалось почти 60 тыс. — при этом дата его создания датируется мартом 2025 года. Это свидетельствует о попытке замаскировать вредоносную активность под результат упорной инженерной работы.
Каждый такой проект поддерживается тремя разными пользователями, а учётные записи при этом постоянно варьируются. При этом ни один из аккаунтов не управляет более чем девятью репозиториями одновременно. Это затрудняет обнаружение взаимосвязей и позволяет дольше оставаться в тени.
Распространение вредоносного ПО ведётся через форумы, Discord, ролики на YouTube, а также специализированные ресурсы в даркнете. Отдельный интерес вызывает тот факт, что сам Sakura RAT привлёк внимание СМИ, и этим воспользовались злоумышленники — приманка сработала на новичков и исследователей, решивших загрузить инструмент.
Вместо полезного кода жертвы получают сложную цепочку заражения, в которой задействованы скрипты VBS, команды PowerShell с жёстко прописанными адресами, 7zip-архивы, а также исполняемый файл SearchFilter.exe на базе Electron. Последний содержит зашифрованный файл main.js, инструменты для анализа системы, отключения Защитника Windows и внедрения вредоносных компонентов.
В Sophos подчёркивают, что речь идёт не просто о фрагментарных попытках навредить пользователю, а о спланированной кампании, использующей автоматизацию, псевдоразработку и популярные каналы распространения для масштабного заражения тех, кто сам занимается киберразработкой или интересуется цифровыми инструментами.
Оригинал публикации на сайте CISOCLUB: "Хакеры распространяют бэкдоры через GitHub и атакуют геймеров, исследователей и других хакеров".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.