Дослідники компанії Sophos виявили складну кампанію кіберзлочинців, які використовують популярну платформу GitHub для розповсюдження шкідливого програмного забезпечення. Атакувальники цілеспрямовано полюють на хакерів, геймерів та фахівців з інформаційної безпеки, маскуючи троянські програми під корисні інструменти, ігрові чити та експлойти.
Початок розслідування: аналіз Sakura RAT
Кампанія була розкрита після звернення клієнта Sophos з проханням проаналізувати безпеку трояна Sakura RAT, розміщеного у відкритому доступі на GitHub. Детальне дослідження показало, що сам троян не функціонує, однак проект містить прихований механізм PreBuildEvent у Visual Studio, який автоматично завантажує та встановлює шкідливе ПЗ під час спроби компіляції коду.
Подальше розслідування призвело до вражаючого відкриття: автор Sakura RAT під псевдонімом ischhfd83 виявився пов’язаним зі 141 репозиторієм на GitHub, з яких 133 містили інструменти з прихованими бекдорами.
Складні техніки маскування та імітації активності
Кіберзлочинці застосували витончені методи для надання своїм проектам вигляду легітимності. Коміти у репозиторіях були повністю автоматизовані, створюючи ілюзію активної розробки. Деякі проекти демонстрували майже 60 000 комітів, незважаючи на те, що були створені лише кілька місяців тому.
Середня кількість комітів по всіх шкідливих репозиторіях склала 4446 на момент аналізу. Для кожного репозиторія використовувалося не більше трьох контрибюторів, при цьому зловмисники створювали різні облікові записи, обмежуючи кількість репозиторіїв на один акаунт максимум дев’ятьма проектами.
Канали поширення та цільова аудиторія
Трафік на шкідливі репозиторії надходив з різних джерел, включаючи YouTube, Discord та спеціалізовані хакерські форуми. Особливо ефективним виявилося висвітлення Sakura RAT у засобах масової інформації, що привернуло увагу початківців-хакерів та скрипт-кідді.
Цільова аудиторія кампанії включала три основні групи: хакери та дослідники безпеки, які шукають нові інструменти; геймери, що цікавляться читами та модифікаціями; ІТ-спеціалісти, які вивчають зразки шкідливого ПЗ.
Багатоетапний механізм зараження
При завантаженні та запуску троянізованих файлів запускається складний ланцюжок атаки. Процес включає виконання VBS-скриптів, завантаження зашифрованого корисного навантаження через PowerShell з жорстко закодованих URL-адрес, отримання 7zip-архівів з GitHub та запуск спеціального Electron-додатку SearchFilter.exe.
Фінальне корисне навантаження містить обфускований код для профілювання системи, виконання команд, деактивації Windows Defender та витягування додаткових компонентів. Серед виявлених шкідливих програм були інфостілери та тројани віддаленого доступу, включаючи Lumma, AsyncRAT та Remcos.
Різноманітність шкідливих технік
Дослідники виявили різні типи прихованих бекдорів: Python-скрипти з обфускованим корисним навантаженням, шкідливі файли скрінсейверів (.scr) з використанням Unicode, JavaScript-файли із закодованим корисним навантаженням та події Visual Studio PreBuild для автоматичного виконання.
Це дослідження демонструє серйозні ризики, пов’язані з використанням неперевіреного коду з відкритих репозиторіїв. Розробникам та дослідникам безпеки слід проявляти особливу обережність при роботі з проектами на GitHub, особливо тими, які обіцяють готові рішення для злому або читингу. Ефективний захист вимагає комплексного підходу: ретельної перевірки вихідного коду перед компіляцією, використання ізольованих середовищ для тестування підозрілого ПЗ та регулярного моніторингу мережевої активності.
