Исследователи кибербезопасности раскрыли масштабную операцию по компрометации проектов с открытым исходным кодом на GitHub. Схема, в центре которой находится разработчик под псевдонимом ischhfd83, содержит более 130 бэкдорных репозиториев, замаскированных под вредоносные инструменты или игровые читы.
Расследование началось, когда клиент компании Sophos сделал запрос о безопасности проекта Sakura RAT, размещённого на GitHub. Хотя сам инструмент казался сломанным, безопасники обнаружили, что он содержал скрытый бэкдор, нацеленный не на бизнес, а на коллег-киберпреступников. Код Sakura RAT включал событие PreBuild, которое молча загружало дополнительный вредонос во время компиляции. Это была первая улика в том, что стало глубоким расследованием репозиториев, превращённых в оружие.
Аналитики Sophos отследили адрес электронной почты, встроенный в малварь, и обнаружили 141 репозиторий, 133 из которых было замаскировано под игровые читы (58%), инструменты для взлома (24%), утилиты для криптовалют (5%), скрипты ботов и так далее. Злоумышленник использовал автоматизацию для поддержания иллюзии активной разработки. Репозитории были заполнены тысячами автоматически сгенерированных коммитов с использованием рабочих процессов GitHub Actions.
Зловред часто размещался в релизах GitHub или на сайтах вставки, а цепочки заражения скрывались в слоях запутанного кода в разных форматах, включая PowerShell, Python, JavaScript и заставки Windows. Хотя конечные полезные нагрузки различались, они часто несли известные угрозы, такие как Lumma Stealer или AsyncRAT. Исследователи считают, что многие из этих проектов были размещены на форумах и социальных платформах, чтобы заманить ничего не подозревающих пользователей к компиляции и запуску инструментов с бэкдором.
Sophos предполагает, что эта операция может быть связана с более широкой моделью Distribution-as-a-Service (DaaS), о которой сообщалось в 2024 году. Некоторые артефакты кода и инфраструктура пересекаются с прошлыми кампаниями, но остается неясным, несет ли ответственность тот же самый субъект.
«По иронии судьбы, субъект угрозы, похоже, в основном нацелен на мошеннических геймеров и неопытных киберпреступников, — заявили безопасники. — Также стоит отметить, что вредоносному ПО обычно все равно, кого оно в конечном итоге заразит. Поэтому другие группы также могли быть заражены, включая людей, экспериментирующих с репозиториями с открытым исходным кодом из любопытства».
Усам Оздемиров
