Хакеры против хакеров: фальшивые RAT с бэкдорами в коде на GitHub

Хакеры против хакеров: фальшивые RAT с бэкдорами в коде на GitHub

Хакеры против хакеров: фальшивые RAT с бэкдорами в коде на GitHub

На GitHub снова ловушка — и на этот раз довольно хитроумная. Хакер под ником ischhfd83 выложил в открытый доступ якобы полезные инструменты: эксплойты, читы для игр и исходники под названием Sakura RAT. Только вот внутри — бэкдоры, открывающие злоумышленнику удалённый доступ к устройству жертвы.

Компания Sophos начала расследование после того, как к ним обратился клиент с вопросом: насколько опасен этот самый Sakura RAT, раз он лежит на GitHub в открытом доступе?

Ответ оказался неожиданным: сам исходник практически бесполезен, зато в нём спрятан PreBuildEvent. Как только кто-то решит собрать проект в Visual Studio, сразу срабатывает скрытая загрузка вредоноса.

И это только верхушка айсберга: Sophos нашли ещё 141 репозиторий, связанный с этим хакером (или группой). В 133 из них — те же самые бэкдоры. Настоящая кампания по заражению доверчивых пользователей.

В чём трюк?

Репозитории выглядят «живыми»: десятки тысяч коммитов (у одного — почти 60 000, хотя создан он был только в марте 2025), три «постоянных» автора, регулярные обновления, хоть и полностью автоматические. Всё это создаёт впечатление легитимности — будто это реально активный open-source проект.

Реклама этих репозиториев тоже ведётся грамотно: ссылки попадают в YouTube-видео, Discord-сообщества, а также на форумы по кибербезопасности. Особенно часто используется замануха вроде «читов для популярных игр», «инструментов для моддинга» и даже «сборщиков эксплойтов».

 

Что происходит после запуска?

Если пользователь скачивает и запускает (или компилирует) код — начинается многоступенчатое заражение. Сначала на диск записываются и запускаются VBS-скрипты. Затем PowerShell качает зашифрованный пейлоад с жёстко заданным URL, распаковывает архив и запускает под видом Electron-приложения нечто под названием SearchFilter.exe.

А уже оно загружает основной JS-код, в котором:

  • собирается информация о системе,
  • отключается Защитник Windows,
  • запускаются команды и качаются другие вредоносы.

Среди них — известные инфостилеры вроде Lumma Stealer, AsyncRAT и Remcos.

Кого атакуют?

Хотя на первый взгляд это всё нацелено на других хакеров (мол, хочешь попробовать RAT — вот тебе код), на деле также страдают:

  • геймеры, которые ищут читы;
  • исследователи, которым интересны «инструменты»;
  • студенты, которые просто что-то тестируют.

Что делать?

GitHub — открытая площадка, и загрузить туда может кто угодно. Поэтому всегда проверяйте, что за код вы запускаете или собираете. Особое внимание — на все pre- и post-build события. Именно туда чаще всего прячут сюрпризы.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Троян-невидимка: Efimer заражает под видом популярных фильмов

Летом 2025 года эксперты «Лаборатории Касперского» заметили новый всплеск атак трояна под названием Efimer. Этот зловред уже успел отметиться в нескольких странах, включая Россию. Основная его цель — красть и подменять криптокошельки, но при желании авторы могут «прокачать» его дополнительными скриптами.

Например, операторы способны подобрать пароли к сайтам на WordPress или собрать базы электронных адресов для рассылки новых заражённых писем.

Первоначально, с осени 2024 года, Efimer прятался на взломанных WordPress-сайтах. Летом 2025-го злоумышленники пошли дальше и начали рассылать его по электронной почте и прятать в торрент-файлы.

Частных пользователей атакуют через якобы свежие фильмы в торренте. Злоумышленники взламывают плохо защищённые сайты на WordPress, выкладывают там пост с заманчивой ссылкой на запароленный архив и «торрент-файл». На деле внутри — вредоносный «проигрыватель», который заражает компьютер.

С корпоративными пользователями схема чуть хитрее. На почту приходит письмо якобы от юристов компании, которые утверждают, что домен получателя содержит слова или фразы, уже кем-то зарегистрированные.

Вместо суда они предлагают «договориться» и даже готовы выкупить домен. Подробности — во вложении, которое опять же представляет собой запароленный архив с вредоносом. Запустил — получил ошибку на экране и заражённую систему.

Эксперты напоминают: не качайте торренты из сомнительных источников, не открывайте подозрительные вложения, особенно от незнакомых отправителей. Разработчикам и администраторам сайтов советуют обновлять ПО, ставить сильные пароли и двухфакторную аутентификацию, а также регулярно проверять ресурсы на признаки взлома.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru