Сложная кампания нацелена на хакеров, геймеров и исследователей с первым исходным кодом, распространяемым через репозитории GitHub. Злоусованный код, спрятанный в проектах, часто рекламируется как эксплойты, боты или игровые читы, предоставляет атакующим удаленный доступ к зараженным устройствам.
Операция была обнаружена исследователями Shophos во время исследования «Sakura Rat», отдаленного трояна, который, по сообщениям, доступен на Github. Их анализ показал, что сам код крыс Сакура был в значительной степени нефункциональным. Тем не менее, проект Visual Studio содержал злонамеренный PrebuildEvent, предназначенный для загрузки и установки вредоносного ПО, когда пользователи пытались скомпилировать код.
Дальнейшее расследование связало издателя «ISCHHFD83» с сетью из 141 репозиториев GitHub. Из них было обнаружено, что 133 содержит скрытые бэкдоры, что указывает на скоординированные усилия по распространению вредоносных программ.
Методы, используемые для встраивания бэкдоров, различаются, в том числе сценарии Python с запутанными полезными нагрузками, файлами злонамеренной заставки (.SCR) с использованием трюков Unicode, файлов JavaScript, содержащих полезные нагрузки и вредоносные события Prebuild Visual Studio. В то время как некоторые репозитории были заброшены в конце 2023 года, многие остаются активными с автоматическими коммитами, предназначенными для создания ложного чувства легитимности и деятельности. Эти автоматизированные рабочие процессы приводят к необычайно высоким количествам коммита; В одном проекте, созданном в марте 2025 года, было почти 60 000 коммитов, причем среднее значение по всем репозиториям составило 4446 во время начального сбора данных Sophos.
В каждом репозитории постоянно участвуют три участника. Различные счета издателей также использовались, без учетной записи более девяти репозиториев. Движение к этим вредоносным хранилищам обусловлено продвижением на YouTube, Discord и киберпреступности. Считается, что внимание средств массовой информации, окружающая крыс Сакура, привлекла ничего не подозревающих пользователей для поиска ее на GitHub.
Когда жертва загружает эти файлы, просто запуск или создание кода запускает многоэтапный процесс инфекции. Этот процесс включает в себя выполнение сценариев VBS, за которыми следуют PowerShell, загружая кодируемую полезную нагрузку из жестко -кодированных URL -адресов. Это приводит к получению архива 7ZIP из GitHub и выполнению электронного приложения с именем ‘searchfilter.exe’. Это электронное приложение содержит объединенный архив с сильно запутанным «main.js» и связанными файлами. Эти файлы включают код для профилирования системы, выполнение команды, отключение защитника Windows и получение дополнительных полезных нагрузок.
Вторичные полезные нагрузки, загруженные Backdoor, включают известных информационных краж и отдаленных троянцев, таких как Lumma Seater, Asyncrat и REMCOS, все они оснащены обширными возможностями кражи данных.
В то время как часть троянизированных репозиториев нацелена на других хакеров, широкий спектр приманок, включая игровые читы, инструменты мод и поддельные эксплойты, также используются для заинтересованности геймеров, студентов и даже исследователей кибербезопасности.
Учитывая легкость, с которой каждый может загрузить исходный код в GitHub, пользователям настоятельно рекомендуется тщательно изучить исходный код и проверить любые события до и пост-сборки в рамках проектов, прежде чем компиляция программного обеспечения, загруженного из репозиториев с открытым исходным кодом.
Source: Репозитории GitHub распределяют вредоносное ПО для геймеров и хакеров
