Изследователи от Sophos разкриха мащабна злонамерена кампания, насочена към хакери, геймъри и изследователи по киберсигурност, при която заразен изходен код в GitHub съдържа скрити бекдори, позволяващи дистанционен контрол над устройствата на жертвите.

Кампанията започнала да се разплита, след като клиент на Sophos потърсил помощ във връзка с троянски кон за отдалечен достъп (RAT), наречен Sakura RAT, свободно достъпен в GitHub. Оказало се, че самият код на Sakura RAT е нефункционален, но съдържа скрит Visual Studio PreBuildEvent, който изтегля и инсталира зловреден софтуер на компилиращото устройство.

Над 130 заразени проекта, маскирани като полезен софтуер

Злонамереният акаунт в GitHub с име “ischhfd83” се оказал директно или индиректно свързан със 141 хранилища, от които 133 съдържат скрити бекдори. Те използват различни техники за прикриване:

• Обфускирани Python скриптове с вграден зловреден код;

• .scr (screensaver) файлове, използващи Unicode трикове;

• JavaScript с кодирани полезни товари;

• PreBuild събития във Visual Studio, които активират VBS скриптове и PowerShell команди.

Много от тези хранилища изглеждат активни, с редовни автоматизирани комити, симулиращи реална дейност. Едно от тях съдържало над 60,000 комита, въпреки че било създадено само няколко месеца по-рано. Средният брой комити във всички хранилища е 4,446.

Примамки: експлойти, ботове, модове и инструменти за хакване

Проектите се промотират чрез YouTube видеа, Discord сървъри и публикации в хакерски форуми, насочени към млади хакери („script kiddies“), геймъри и дори специалисти по киберсигурност. Злонамереният код често се представя като:

• Инструменти за създаване на експлойти;

• Ботове и хакове за игри;

• Модификации за популярни заглавия;

• Инструменти за пробиви и анализ.

Механизъм на заразяване

След изтегляне и компилиране, започва сложен многоетапен процес на инфекция:

1. Изпълнение на VBS скриптове, записани на диска;

2. PowerShell изтегля кодирани полезни товари от твърдо кодирани URL адреси;

3. Изтегляне на 7zip архив от GitHub;

4. Стартиране на Electron приложение (SearchFilter.exe), което зарежда архив с тежко обфускиран main.js.

В този код има модули за профилиране на системата, изпълнение на команди, деактивиране на Windows Defender и изтегляне на допълнителни вредоносни компоненти.

Сред най-често използваните полезни товари са:

• Lumma Stealer – крадец на пароли и данни;

• AsyncRAT – троянски кон с възможности за дистанционно управление;

• Remcos RAT – мощен инструмент за пълен контрол над системата.

Изводи: внимателна проверка на всеки код в GitHub

Разследването на Sophos подчертава нарастващия риск от злонамерен код в отворени хранилища, особено в платформи като GitHub, където всеки може да качи проект.

Потребителите, изтеглящи и компилиращи код от GitHub, трябва задължително да:

• Проверяват PreBuild и PostBuild събития в проектите;

• Анализират PowerShell или VBS скриптове;

• Внимават за подозрителна активност в автоматичните комити;

• Използват защитени среди (sandbox), преди да стартират или компилират съмнителен код.