292 репозитория GitHub были замечены в распространении инфостилеров, имитировавших известные инструменты безопасности, финансов и разработки. Об атаке рассказали эксперты Arctic Wolf.
Все эти репозитории содержали файл README со ссылкой на страницу загрузки с ZIP‑архивом, которая была оформлена как легитимная, а имя архива и файлы в нём менялись примерно раз в минуту, чтобы усложнить отслеживание. Внутри находилась библиотека libcurl.dll и модуль обновления WinGUP, называющийся именем продукта, под которым он подписывался. Данная библиотека декодировала и запускала встроенный инфостилер.
Малварь, очевидно, относится к семейству BoryptGrab и ориентирована на сбор самой разной информации: пароли и cookies из 19 браузеров, данные из 32 криптокошельков, сессии и токены Telegram, Discord и Steam, учётные данные мессенджера MAX, содержимое диспетчера учётных данных Windows, а также скриншоты, сведения о системе и списки установленного софта.
Безопасники уточнили, что выявленное ПО не присутствует на хосте постоянно, так как предназначено для кражи как можно большего объёма сведений за одно выполнение.





