Хакер открыл охоту на других хакеров через зараженные инструменты на GitHub — Tproger

Правило бумеранго сработало в лучшем виде. Правда, попутно задело и тех, кто не представляет угрозы

Исследователи из Sophos раскрыли масштабную вредоносную кампанию, в рамках которой злоумышленник размещал на GitHub десятки фальшивых репозиториев с инструментами для хакеров, геймеров и специалистов по кибербезопасности.

Все они содержали бэкдоры, способные дать удаленный доступ к системе жертвы.

Все началось с трояна, которого не существует

Кампания вскрылась после обращения клиента к Sophos с подозрением на троян Sakura RAT, выложенный в открытый доступ.

Анализ показал, что сам троян — муляж, не выполняющий никаких функций. Однако при компиляции проекта в Visual Studio активировался скрипт PreBuildEvent, который устанавливал вредоносное ПО.

Оказалось, что автор Sakura RAT под ником ischhfd83 был прямо или косвенно связан с 141 репозиторием, из которых 133 содержали вредоносы.

Приманки и автоматизация

Вредоносные репозитории включали:

• фальшивые скрипты Python с обфускацией;
• вредоносные .scr-файлы (скринсейверы);
• JavaScript с зашифрованными полезными нагрузками;
• скомпрометированные события PreBuild в Visual Studio.

Многие репозитории имитировали активность через автоматизированные коммиты — один проект набрал почти 60 000 коммитов всего за два месяца. Это создает иллюзию активности и надежности.

Как мы перенесли web-сервис в Телеграм Mini Appstproger.ru

В среднем на каждый репозиторий приходилось около 4446 коммитов.

Атака выглядела легитимно — и потому срабатывала

Жертвы натыкались на вредоносные инструменты через YouTube, Discord и хакерские форумы, где их рекламировали как взломанные читы или эксплойты.

После скачивания начиналась многоступенчатая атака:

1. Выполнялся .vbs-скрипт.
2. Через PowerShell загружалась полезная нагрузка с жестко закодированного URL.
3. С GitHub подтягивался архив с приложением на Electron (SearchFilter.exe).
4. Приложение разворачивало main.js, который отключал Defender, собирал информацию о системе, запускал команды и загружал дополнительные модули.

Среди них — инфостилеры и удаленные трояны, включая Lumma, AsyncRAT и Remcos.

На кого была нацелена атака

Целью стали:

• начинающие хакеры (скрипт-кидди);
• геймеры (в поисках читов и модов);
• специалисты по кибербезопасности (в поисках эксплойтов).

Sophos подчеркивает: кампания направлена на тех, кто сам хочет использовать сомнительные инструменты, а в итоге становится жертвой более изощренного злоумышленника.

Такое мы одобряем?В какой-то степени Робин Гуд, так что да!В целом и да, и нет. Все же атака коснулась и исследователейКонечно нет! Хакерство есть хакерство!