Wyrafinowana kampania jest skierowana do hakerów, graczy i badaczy z tylnym kodem źródłowym dystrybuowanym za pośrednictwem repozytoriów GitHub. Złośliwy kod, ukryty w projektach często reklamowanych jako exploits, boty lub kody gier, daje napastników zdalny dostęp do zainfekowanych urządzeń.
Operacja została odkryta przez badaczy Sophos podczas badania „Sakura Rat”, zdalnego trojana dostępu dostępnego w GitHub. Ich analiza wykazała, że sam kod szczura Sakura był w dużej mierze niefunkcjonalny. Jednak projekt Visual Studio zawierał złośliwy prekuldevent zaprojektowany do pobierania i instalowania złośliwego oprogramowania, gdy użytkownicy próbowali opracować kod.
Dalsze dochodzenie połączyło wydawcę „ISCHHFD83” z siecią 141 repozytoriów Github. Spośród nich stwierdzono, że 133 zawiera ukryte backdoors, co wskazuje na skoordynowane wysiłek dystrybucji złośliwego oprogramowania.
Metody stosowane do osadzania backdorów są różne, w tym skrypty Pythona z zaciemnionymi ładowaniami, złośliwym ekranem (.SCR) z wykorzystaniem sztuczek Unicode, plików JavaScript zawierających kodowane ładunki oraz złośliwe zdarzenia prekullowe w studio wizualnym. Podczas gdy niektóre repozytoria zostały porzucone pod koniec 2023 r., Wiele pozostaje aktywnych dzięki zautomatyzowanym zobowiązaniom zaprojektowanym w celu stworzenia fałszywego poczucia legitymacji i aktywności. Te zautomatyzowane przepływy pracy powodują niezwykle wysoką liczbę zatwierdzeń; Jeden projekt utworzony w marcu 2025 r. Miał prawie 60 000 zobowiązań, a średnia we wszystkich repozytoriach wynosiła 4446 w momencie początkowego gromadzenia danych Sophos.
Każde repozytorium konsekwentnie zawierało trzech współpracowników. Zastosowano również różne rachunki wydawcy, przy czym żadne konto nie zarządzały więcej niż dziewięć repozytoriów. Ruch do tych złośliwych repozytoriów wynika z promocji na forach YouTube, Discord i CyberPrime. Uważa się, że uwaga mediów otaczająca Sakura Rat przyciągnęła niczego niepodejrzewających użytkowników do wyszukiwania go na GitHub.
Gdy ofiara pobiera te pliki, po prostu uruchamianie lub budowanie kodu wyzwala wieloetapowy proces infekcji. Proces ten obejmuje wykonywanie skryptów VBS, a następnie PowerShell pobieranie kodowanego ładunku z hardkodowanych adresów URL. Prowadzi to do pobierania archiwum 7zip z GitHub i wykonania aplikacji elektronowej o nazwie „SearchFilter.exe”. Ta aplikacja elektronowa zawiera pakiet archiwum z mocno zaciemnionymi „main.js” i powiązanymi plikami. Pliki te obejmują kod do profilowania systemu, wykonywanie poleceń, wyłączanie Windows Defender i pobieranie dodatkowych ładunków.
Wtórne ładunki pobrane przez backdoor obejmują znane informacje o kradzieży informacji i trojany zdalnego dostępu, takie jak Lumma Crader, Asyncrat i Remcos, wszystkie wyposażone w obszerne możliwości kradzieży danych.
Podczas gdy część trojanizowanych repozytoriów kieruje się do innych hakerów, szeroka gama przynęt, w tym kody do gry, narzędzia modowe i fałszywe exploits, jest również wykorzystywana do uskłżenia graczy, studentów, a nawet badaczy cyberbezpieczeństwa.
Biorąc pod uwagę łatwość, z jaką każdy może przesyłać kod źródłowy do GitHub, użytkownikom zaleca się dokładnie zbadanie kodu źródłowego i weryfikacji wszelkich zdarzeń przed i po budynku w ramach projektów przed kompilacją oprogramowania pobieranego z repozytoriów open source.
Source: Repozytoria Github dystrybuują złośliwe oprogramowanie graczom i hakerom
