Uma campanha sofisticada está visando hackers, jogadores e pesquisadores com código -fonte de backdoord distribuídos pelos repositórios do GitHub. O código malicioso, escondido em projetos frequentemente anunciados como explorações, bots ou truques de jogo, concede a atacantes acesso remoto a dispositivos infectados.
A operação foi descoberta por pesquisadores da Sophos enquanto investigava o “Sakura Rat”, um acesso remoto de Trojan disponível no Github. A análise deles revelou que o próprio código de rato Sakura era amplamente não funcional. No entanto, o projeto do Visual Studio continha um pré -construtor malicioso, projetado para baixar e instalar malware quando os usuários tentaram compilar o código.
Investigação adicional vinculou o editor “ISCHHFD83” a uma rede de 141 repositórios do GitHub. Destes, 133 foram encontrados para conter backdoors ocultos, indicando um esforço coordenado para distribuir malware.
Os métodos usados para incorporar backdoors variam, incluindo scripts Python com cargas úteis ofuscadas, arquivos de protesto malicioso (.SCR) utilizando truques unicode, arquivos JavaScript que contêm cargas úteis codificadas e eventos de pré -edifícios do Visual Studio maliciosos. Enquanto alguns repositórios foram abandonados no final de 2023, muitos permanecem ativos com compromissos automatizados projetados para criar um falso senso de legitimidade e atividade. Esses fluxos de trabalho automatizados resultam em contagens de comprometimento incomumente altas; Um projeto criado em março de 2025 teve quase 60.000 compromissos, com a média em todos os repositórios em relação a 4.446 na época da coleta inicial de dados da Sophos.
Cada repositório apresentava consistentemente três colaboradores. Diferentes contas de editores também foram empregadas, com nenhuma conta de gerenciamento de mais de nove repositórios. O tráfego para esses repositórios maliciosos é impulsionado pela promoção nos fóruns do YouTube, Discord e Cybercrime. Acredita -se que a atenção da mídia em torno do rato Sakura, especificamente, tenha atraído usuários inocentes para pesquisá -lo no Github.
Quando uma vítima baixa esses arquivos, simplesmente executar ou construir o código aciona um processo de infecção em vários estágios. Esse processo envolve a execução de scripts VBS, seguida pelo PowerShell baixando uma carga útil codificada a partir de URLs codificados. Isso leva à busca de um arquivo 7zip no GitHub e à execução de um aplicativo de elétrons chamado ‘SearchFilter.exe’. Este aplicativo Electron contém um arquivo agrupado com ‘Main.js’ fortemente ofuscado e arquivos relacionados. Esses arquivos incluem código para criação de perfil do sistema, execução de comando, desativação do Windows Defender e recuperação de cargas úteis adicionais.
As cargas salariais secundárias baixadas pelo backdoor incluem ladrões de informações conhecidas e trojans de acesso remoto, como ladrão de lumma, assíncrados e remcos, todos equipados com extensos recursos de roubo de dados.
Enquanto uma parte dos repositórios trojanizados tem como alvo outros hackers, uma ampla gama de iscas, incluindo truques de jogo, ferramentas de modos e explorações falsas, também são usadas para prender jogadores, estudantes e até pesquisadores de segurança cibernética.
Dada a facilidade com que qualquer pessoa pode enviar o código-fonte no GitHub, os usuários são fortemente aconselhados a examinar cuidadosamente o código-fonte e verificar quaisquer eventos pré e pós-construção em projetos antes de compilar o software baixado de repositórios de código aberto.
Source: Os repositórios do GitHub distribuem malware para jogadores e hackers
