Een geavanceerde campagne is gericht op hackers, gamers en onderzoekers met achterdeurbroncode gedistribueerd via Github -repositories. De kwaadaardige code, verborgen binnen projecten die vaak worden geadverteerd als exploits, bots of game cheats, verleent aanvallers op afstand tot geïnfecteerde apparaten.
De operatie werd ontdekt door Sophos -onderzoekers tijdens het onderzoeken van “Sakura Rat”, een externe toegang die Trojan naar verluidt beschikbaar is op GitHub. Hun analyse onthulde dat de Sakura-rattencode zelf grotendeels niet functioneel was. Het Visual Studio -project bevatte echter een kwaadwillende prebuildevent die is ontworpen om malware te downloaden en te installeren wanneer gebruikers probeerden de code te compileren.
Verder onderzoek heeft de uitgever “ischhfd83” gekoppeld aan een netwerk van 141 GitHub -repositories. Hiervan bleken 133 verborgen achterdeuren te bevatten, wat een gecoördineerde inspanning aangeeft om malware te verdelen.
De methoden die worden gebruikt om backdoors in te bedden variëren, inclusief Python -scripts met verduisterde payloads, Maleicious Screensaver (.SCR) -bestanden met behulp van Unicode -trucs, JavaScript -bestanden die gecodeerde payloads bevatten, en kwaadaardige Visual Studio Prebuild -evenementen. Terwijl sommige repositories eind 2023 werden verlaten, blijven velen actief met geautomatiseerde commits die zijn ontworpen om een vals gevoel van legitimiteit en activiteit te creëren. Deze geautomatiseerde workflows resulteren in ongewoon hoge commit tellingen; Eén project gemaakt in maart 2025 had bijna 60.000 commits, met het gemiddelde in alle repositories op 4.446 op het moment van de eerste gegevensverzameling van Sophos.
Elke repository bevatte consequent drie bijdragers. Verschillende uitgeversrekeningen werden ook gebruikt, zonder enkele account die meer dan negen repositories beheert. Verkeer naar deze kwaadaardige repositories wordt aangedreven door promotie op YouTube-, Discord- en Cybercrime -forums. Men denkt dat de aandacht van de media rond Sakura Rat, met name, nietsvermoedende gebruikers heeft getrokken om ernaar te zoeken op GitHub.
Wanneer een slachtoffer deze bestanden downloadt, activeert het eenvoudig uitvoeren of bouwen van de code een multi-fasen infectieproces. Dit proces omvat de uitvoering van VBS -scripts, gevolgd door PowerShell die een gecodeerde payload downloaden van hardcode URL’s. Dit leidt tot het ophalen van een 7zip -archief van GitHub en de uitvoering van een elektronen -app genaamd ‘SearchFilter.exe’. Deze elektronen -app bevat een gebundelde archief met zwaar verdoezelde ‘main.js’ en gerelateerde bestanden. Deze bestanden omvatten code voor systeemprofilering, opdrachtuitvoering, het uitschakelen van Windows -verdediger en het ophalen van extra payloads.
De secundaire payloads gedownload door de Backdoor zijn bekende informatie-stealers en externe toegang Trojans zoals Lumma Stealer, Asyncrat en Remcos, allemaal uitgerust met uitgebreide gegevensdiefstalmogelijkheden.
Terwijl een deel van de Trojanized Repositories zich richt op andere hackers, worden een breed scala aan kunstaas, waaronder game cheats, mod -tools en nep -exploits, ook gebruikt om gamers, studenten en zelfs cybersecurity -onderzoekers te verstrikken.
Gezien het gemak waarmee iedereen de broncode naar GitHub kan uploaden, wordt gebruikers sterk geadviseerd om de broncode zorgvuldig te onderzoeken en eventuele pre- en postbuild-evenementen binnen projecten te verifiëren voordat software wordt gecompileerd van open-source repositories.
Source: GitHub -repositories distribueren malware aan gamers en hackers
