Escrocheria care îi păcălește până și pe cei mai experimentați – Nici gamerii și cercetătorii nu scapă
O campanie amplă de infectare cu malware, țintind hackeri, gameri și cercetători, a fost descoperită recent de experții în securitate cibernetică de la Sophos.
Atacatorul folosește coduri sursă găzduite pe GitHub, conținând backdoor-uri ascunse ce permit accesul de la distanță pe dispozitivele infectate, scrie publicația Bleeping Computer.
Printre victimele vizate se numără și cei interesați de tool-uri pentru hacking, cheat-uri pentru jocuri sau chiar coduri cu exploit-uri false.
În centrul acestei operațiuni se află un troian de acces de la distanță (RAT) numit Sakura RAT, disponibil public pe GitHub.
Cercetătorii au constatat că proiectul original Sakura RAT, de fapt, nu funcționa corect, însă avea în setările sale un PreBuildEvent (un script executat înaintea compilării în Visual Studio) care descărca și instala malware pe sistemele celor care încercau să compileze codul.
Autorul principal al acestei campanii, cunoscut sub pseudonimul „ischhfd83”, este asociat cu 141 de depozite (repository) pe GitHub, dintre care 133 conțin backdoor-uri ascunse, ceea ce arată că vorbim despre o campanie deliberată și organizată de răspândire a software-ului malițios.
Coduri sursă modificate și activitate falsă pentru a induce în eroare utilizatorii
Metodele folosite pentru a ascunde malware-ul sunt variate și ingenioase: scripturi Python cu payload-uri obfuscate, fișiere screensaver (.scr) malițioase ce folosesc trucuri cu Unicode, fișiere JavaScript codate și scripturi PreBuild din Visual Studio.
Deși unele dintre aceste proiecte par abandonate încă din 2023, multe sunt active și primesc actualizări regulate, unele chiar la minute după analiza Sophos. Aceste actualizări sunt automatizate și au scopul de a crea impresia unui proiect legitim, activ.
Numărul mediu de commit-uri (modificări oficiale) în aceste proiecte este de ordinul miilor, un depozit având chiar aproape 60.000 de commit-uri în câteva luni, iar contribuțiile sunt limitate la trei utilizatori per proiect, cu mai multe conturi diferite folosite pentru a nu atrage atenția.
Proiectele infectate atrag trafic din diverse surse, inclusiv videoclipuri de pe YouTube, discuții pe Discord și postări pe forumuri de criminalitate informatică.
Interesul pentru Sakura RAT a fost alimentat și de apariția sa în mass-media, ceea ce a atras „script kiddies”, persoane fără pregătire avansată care caută coduri gata făcute pentru hacking.
În momentul în care un utilizator descarcă și încearcă să ruleze sau să compileze aceste coduri, se declanșează o serie de acțiuni periculoase.
Inițial, un backdoor execută scripturi VBS pe sistem, iar apoi PowerShell descarcă payload-uri codate din URL-uri hardcodate, obținând arhive 7zip găzduite tot pe GitHub și rulând o aplicație Electron denumită SearchFilter.exe.
Aceasta încarcă un fișier JavaScript foarte obfuscate care include cod pentru profilarea sistemului, executarea de comenzi, dezactivarea antivirusului Windows Defender și descărcarea unor payload-uri suplimentare.
Printre programele malițioase care pot fi instalate se numără troieni precum Lumma Stealer, AsyncRAT sau Remcos, specializați în furtul masiv de date și controlul de la distanță al mașinilor compromise.
Riscuri și recomandări pentru utilizatorii GitHub
Această campanie evidențiază riscurile majore pe care le implică descărcarea și compilarea codului sursă din surse nevalidate.
Fiind o platformă deschisă, oricine poate publica cod pe GitHub, iar verificarea atentă a proiectelor, inclusiv a event-urilor pre și post-build, este crucială pentru a preveni infectarea sistemelor.
Pentru utilizatorii care experimentează cu coduri open-source, mai ales cele legate de hacking, cheat-uri sau instrumente pentru exploatare, recomandarea este să analizeze detaliat codul și să evite rularea automatizată a scripturilor necunoscute. În lipsa unor verificări riguroase, riscul de infectare cu malware avansat rămâne foarte ridicat.
