05/06/25
За банальными репозиториями скрывается тщательно продуманная кампания с сотнями проектов, содержащих бэкдоры, активируемые в момент сборки или запуска кода.
О масштабах операции стало известно благодаря исследованию специалистов из Sophos, к которым обратился клиент для анализа угрозы, связанной с удалённым доступом — так называемым Sakura RAT. Хотя сам по себе код Sakura RAT оказался неработающим, в его проекте Visual Studio была обнаружена команда PreBuildEvent, которая автоматически загружала и устанавливала вредоносное ПО на компьютеры, пытавшиеся скомпилировать проект.
Анализ привёл к GitHub-аккаунту под ником «ischhfd83», связанному напрямую или через подставных лиц с ещё 141 репозиторием. Из них 133 содержали закладки.
Ассортимент вредоносных методов варьируется от Python-скриптов с запутанным кодом до вредоносных .scr-файлов, маскирующихся под заставки, и JavaScript-файлов с зашифрованной логикой, пишет Securitylab. Многие репозитории используют трюки с Unicode и автоматизацию Visual Studio для запуска закладок без ведома пользователя.
Хотя часть репозиториев выглядит заброшенной с конца 2023 года, многие из них до сих пор активны, с коммитами, появляющимися буквально за считаные минуты до начала анализа. Эти коммиты сгенерированы полностью автоматически — так создаётся иллюзия развития и активности, повышающая доверие к проекту. В одном из репозиториев обнаружено почти 60 тысяч коммитов при дате создания в марте 2025 года. В среднем — 4 446 на проект.
У каждого репозитория — по три участника, и не более девяти проектов связано с одним аккаунтом. Такой подход позволяет рассеять внимание и избежать быстрой блокировки со стороны GitHub.
Привлечение жертв осуществляется через видео на YouTube, обсуждения в Discord и посты на киберпреступных форумах. Сам Sakura RAT не так давно получил внимание в прессе, что вызвало интерес у новичков в сфере кибербезопасности, решивших испытать код на практике. Именно они и становятся основной мишенью.
При попытке запустить или собрать код запускается многоступенчатый процесс заражения. Сначала активируются VBS-скрипты, после чего PowerShell загружает зашифрованный компонент с заранее заданного URL. Затем скачивается архив 7zip с GitHub и запускается приложение Electron под именем «SearchFilter.exe».
Внутри этого приложения находится обфусцированный файл «main.js», который содержит логику для сбора информации о системе, выполнения команд, отключения Windows Defender и загрузки новых вредоносных компонентов.
На финальной стадии загружаются известные инструменты — Lumma Stealer , AsyncRAT , Remcos RAT. Все они обладают широкими возможностями для кражи данных и управления системой.
