Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Обнаружена очередная кампания по распространению вредоносного ПО через GitHub

05/06/25

GitHub-1

За банальными репозиториями скрывается тщательно продуманная кампания с сотнями проектов, содержащих бэкдоры, активируемые в момент сборки или запуска кода.

О масштабах операции стало известно благодаря исследованию специалистов из Sophos, к которым обратился клиент для анализа угрозы, связанной с удалённым доступом — так называемым Sakura RAT. Хотя сам по себе код Sakura RAT оказался неработающим, в его проекте Visual Studio была обнаружена команда PreBuildEvent, которая автоматически загружала и устанавливала вредоносное ПО на компьютеры, пытавшиеся скомпилировать проект.

Анализ привёл к GitHub-аккаунту под ником «ischhfd83», связанному напрямую или через подставных лиц с ещё 141 репозиторием. Из них 133 содержали закладки. 

Ассортимент вредоносных методов варьируется от Python-скриптов с запутанным кодом до вредоносных .scr-файлов, маскирующихся под заставки, и JavaScript-файлов с зашифрованной логикой, пишет Securitylab. Многие репозитории используют трюки с Unicode и автоматизацию Visual Studio для запуска закладок без ведома пользователя.

Хотя часть репозиториев выглядит заброшенной с конца 2023 года, многие из них до сих пор активны, с коммитами, появляющимися буквально за считаные минуты до начала анализа. Эти коммиты сгенерированы полностью автоматически — так создаётся иллюзия развития и активности, повышающая доверие к проекту. В одном из репозиториев обнаружено почти 60 тысяч коммитов при дате создания в марте 2025 года. В среднем — 4 446 на проект.

У каждого репозитория — по три участника, и не более девяти проектов связано с одним аккаунтом. Такой подход позволяет рассеять внимание и избежать быстрой блокировки со стороны GitHub.

Привлечение жертв осуществляется через видео на YouTube, обсуждения в Discord и посты на киберпреступных форумах. Сам Sakura RAT не так давно получил внимание в прессе, что вызвало интерес у новичков в сфере кибербезопасности, решивших испытать код на практике. Именно они и становятся основной мишенью.

При попытке запустить или собрать код запускается многоступенчатый процесс заражения. Сначала активируются VBS-скрипты, после чего PowerShell загружает зашифрованный компонент с заранее заданного URL. Затем скачивается архив 7zip с GitHub и запускается приложение Electron под именем «SearchFilter.exe».

Внутри этого приложения находится обфусцированный файл «main.js», который содержит логику для сбора информации о системе, выполнения команд, отключения Windows Defender и загрузки новых вредоносных компонентов.

На финальной стадии загружаются известные инструменты — Lumma Stealer , AsyncRAT , Remcos RAT. Все они обладают широкими возможностями для кражи данных и управления системой.

Темы:Пресс-релизПреступленияGitHubSophosбэкдоры
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...