一项复杂的广告系列是针对黑客,游戏玩家和研究人员,其后续源代码通过GitHub存储库分发。恶意代码隐藏在通常被宣传为漏洞,机器人或游戏作弊的项目中,授予攻击者远程访问受感染设备的访问。
Sophos研究人员在调查了Github上可用的远程访问特洛伊木马时发现了该手术。他们的分析表明,樱花大鼠代码本身在很大程度上是非功能性的。但是,Visual Studio项目包含一个恶意的Prebuildevent,旨在在用户试图编译代码时下载和安装恶意软件。
进一步的调查将发布者的“ ISCHHFD83”与141个GitHub存储库的网络联系起来。其中,发现133个包含隐藏的后门,表明为分发恶意软件的协调努力。
用于嵌入后门的方法各不相同,包括具有混淆有效载荷的Python脚本,使用Unicode技巧的恶意屏幕保护程序(.scr)文件,包含编码有效载荷的JavaScript文件以及恶意的Visual Studio Prebuild事件。虽然一些存储库在2023年末被放弃,但许多存储库仍然活跃起来,旨在创造错误的合法性和活动感。这些自动化工作流程导致了异常高的提交数量;一个于2025年3月创建的一个项目进行了近60,000个投入,在Sophos的初始数据收集时,所有存储库的平均值为4,446。
每个存储库始终都有三个贡献者。还采用了不同的发布者帐户,没有一个帐户管理超过九个存储库。这些恶意存储库的流量是由YouTube,Discord和Cybercrime论坛上的促销活动驱动的。据信,围绕樱花老鼠的媒体关注已吸引了毫无戒心的用户在Github上搜索它。
当受害者下载这些文件时,只需运行或构建代码即可触发多阶段感染过程。此过程涉及执行VBS脚本,然后PowerShell从硬编码URL下载编码有效载荷。这导致从Github获取7ZIP档案,并执行了一个名为“ SearchFilter.exe”的电子应用程序。该电子应用程序包含一个捆绑的档案,上面有沉重混淆的“ main.js”和相关文件。这些文件包括用于系统分析,命令执行,禁用Windows Defender的代码以及检索其他有效负载。
后门下载的次要有效载荷包括众所周知的信息窃取器和远程访问木马,例如Lumma窃取器,异步和REMCO,都配备了广泛的数据盗窃功能。
尽管一部分木马的存储库以其他黑客为目标,但包括游戏作弊,mod工具和假漏洞在内的广泛诱饵也用于吸引游戏玩家,学生,甚至网络安全研究人员。
鉴于任何人都可以轻松地将源代码上传到GitHub,因此强烈建议用户仔细检查源代码并验证项目中的任何前和后构建事件,然后再收集从开源存储库下载的软件。
Source: GitHub存储库向游戏玩家和黑客分发恶意软件
