Исследователи кибербезопасности раскрыли масштабную операцию по компрометации проектов с открытым исходным кодом на GitHub. Схема, в центре которой находится разработчик под псевдонимом ischhfd83, содержит более 130 бэкдорных репозиториев, замаскированных под вредоносные инструменты или игровые читы.

Расследование началось, когда клиент компании Sophos сделал запрос о безопасности проекта Sakura RAT, размещённого на GitHub. Хотя сам инструмент казался сломанным, безопасники обнаружили, что он содержал скрытый бэкдор, нацеленный не на бизнес, а на коллег-киберпреступников. Код Sakura RAT включал событие PreBuild, которое молча загружало дополнительный вредонос во время компиляции. Это была первая улика в том, что стало глубоким расследованием репозиториев, превращённых в оружие.

Аналитики Sophos отследили адрес электронной почты, встроенный в малварь, и обнаружили 141 репозиторий, 133 из которых было замаскировано под игровые читы (58%), инструменты для взлома (24%), утилиты для криптовалют (5%), скрипты ботов и так далее. Злоумышленник использовал автоматизацию для поддержания иллюзии активной разработки. Репозитории были заполнены тысячами автоматически сгенерированных коммитов с использованием рабочих процессов GitHub Actions.

Зловред часто размещался в релизах GitHub или на сайтах вставки, а цепочки заражения скрывались в слоях запутанного кода в разных форматах, включая PowerShell, Python, JavaScript и заставки Windows. Хотя конечные полезные нагрузки различались, они часто несли известные угрозы, такие как Lumma Stealer или AsyncRAT. Исследователи считают, что многие из этих проектов были размещены на форумах и социальных платформах, чтобы заманить ничего не подозревающих пользователей к компиляции и запуску инструментов с бэкдором.

Sophos предполагает, что эта операция может быть связана с более широкой моделью Distribution-as-a-Service (DaaS), о которой сообщалось в 2024 году. Некоторые артефакты кода и инфраструктура пересекаются с прошлыми кампаниями, но остается неясным, несет ли ответственность тот же самый субъект.

«По иронии судьбы, субъект угрозы, похоже, в основном нацелен на мошеннических геймеров и неопытных киберпреступников, — заявили безопасники. — Также стоит отметить, что вредоносному ПО обычно все равно, кого оно в конечном итоге заразит. Поэтому другие группы также могли быть заражены, включая людей, экспериментирующих с репозиториями с открытым исходным кодом из любопытства».

 

Усам Оздемиров

11 июня, 2025

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

15.07.2026
ЕК подозревают в организации цензуры интернета и всеобщей слежки
15.07.2026
Apple обвинила OpenAI в краже коммерческих секретов
14.07.2026
Европа требует от Цукерберга поменять архитектуру его платформ
14.07.2026
Anthropic вызвала недовольство клиентов из-за слежки
14.07.2026
Прогноз: Цифровой рубль повлияет и на условия по традиционным финпродуктам
14.07.2026
За каждым IP-адресом должен стоять конкретный пользователь
14.07.2026
«ДиалогНаука» выполнила сертификационный аудит на соответствие стандарту PCI DSS для «Альфа-Банка»
14.07.2026
Data Day 2026: Компании переходят от экспериментов с ИИ к управлению бизнесом на основе данных
13.07.2026
Минцифры представило новые телеком-поправки — на 3 млрд рублей
13.07.2026
zkSecurity: Лидер среди ИИ-моделей меняется от релиза к релизу

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных