Специалисты компании Sophos обнаружили масштабную кампанию кибератак, направленную против хакеров, геймеров и исследователей информационной безопасности. Злоумышленники используют популярную платформу GitHub для распространения вредоносного программного обеспечения, маскируя его под легитимные инструменты, игровые читы и эксплоиты.
Обнаружение угрозы через анализ Sakura RAT
Расследование началось после обращения клиента Sophos с просьбой оценить опасность трояна Sakura RAT, найденного в открытом доступе на GitHub. При детальном анализе исследователи установили, что сам троян не функционирует, однако в проекте Visual Studio присутствует скрытый механизм PreBuildEvent, который автоматически загружает и устанавливает вредоносное ПО на устройства пользователей при попытке компиляции кода.
Дальнейшее расследование привело к шокирующему открытию: издатель Sakura RAT под псевдонимом ischhfd83 оказался связан со 141 репозиторием на платформе GitHub, из которых 133 содержали инструменты со скрытыми бэкдорами.
Техники маскировки и создания ложной активности
Злоумышленники применили изощренные методы для придания своим проектам видимости легитимности. Коммиты в репозитории были полностью автоматизированы, создавая иллюзию активной разработки. Некоторые проекты демонстрировали почти 60 000 коммитов, несмотря на то что были созданы всего несколько месяцев назад.
Среднее количество коммитов по всем вредоносным репозиториям составило 4446 на момент анализа. Для каждого репозитория использовались не более трех контрибьюторов, при этом злоумышленники создавали различные учетные записи, ограничивая количество репозиториев на одну учетную запись максимум девятью проектами.
Векторы распространения и целевая аудитория
Трафик на вредоносные репозитории поступал из различных источников, включая YouTube, Discord и специализированные хакерские форумы. Особенно эффективным оказалось освещение Sakura RAT в средствах массовой информации, что привлекло внимание начинающих хакеров и скрипт-кидди.
Целевая аудитория кампании включала три основные группы:
• Хакеры и исследователи безопасности, ищущие новые инструменты
• Геймеры, интересующиеся читами и модификациями
• ИТ-специалисты, изучающие образцы вредоносного ПО
Многоступенчатый механизм заражения
При загрузке и запуске троянизированных файлов запускается сложная цепочка атаки. Процесс включает выполнение VBS-скриптов, загрузку зашифрованной полезной нагрузки через PowerShell с жестко закодированных URL-адресов, получение 7zip-архивов с GitHub и запуск специального Electron-приложения SearchFilter.exe.
Финальная полезная нагрузка содержит обфусцированный код для профилирования системы, выполнения команд, деактивации Windows Defender и извлечения дополнительных компонентов. Среди обнаруженных вредоносных программ были инфостилеры и трояны удаленного доступа, включая Lumma, AsyncRAT и Remcos.
Разнообразие вредоносных техник
Исследователи обнаружили различные типы скрытых бэкдоров:
• Python-скрипты с обфусцированной полезной нагрузкой
• Вредоносные файлы скринсейверов (.scr) с использованием Unicode
• JavaScript-файлы с закодированной полезной нагрузкой
• События Visual Studio PreBuild для автоматического выполнения
Рекомендации по защите
Данное исследование демонстрирует серьезные риски, связанные с использованием непроверенного кода из открытых репозиториев. Разработчикам и исследователям безопасности следует проявлять особую осторожность при работе с проектами на GitHub, особенно теми, которые обещают готовые решения для взлома или читинга.
Эффективная защита требует комплексного подхода: тщательной проверки исходного кода перед компиляцией, использования изолированных сред для тестирования подозрительного ПО и регулярного мониторинга сетевой активности. Данный случай подчеркивает важность критического мышления даже в сообществе информационной безопасности, где злоумышленники успешно эксплуатируют доверие и любопытство профессионалов.