vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💎
Один против всех
В сервисе GitHub обнаружено более сотни репозиториев, в которых хранится вредоносное ПО. Это отдельная сеть, вот только хранящийся в ней софт нужен для взлома вовсе не обычных пользователей, а для атак на других хакеров, пишет The Register.По информации издания, вся эта сеть может быть создана всего одним человеком под псевдонимом ischhfd83. Исследователи компании Sophos, разработчика средств информационной безопасности, установили, что это может быть пользователь из России, так как привязанная к его аккаунтам электронная почта зарегистрирована на Rambler.ru.
Установить личность владельца аккаунтов пока не удалось, и в Sophos не исключают вероятности, что под никнеймом ischhfd83 может скрываться группа лиц. Весь созданный ischhfd83 софт предназначен для взлома начинающих хакеров, пока не способных написать свое вредоносное ПО или не имеющих денег на приобретение готового и желающих получить хакерский инструментарий бесплатно.
«Кто-то приложил немало усилий, чтобы нажиться на следующем поколении хакеров», – пишет The Register.
Программа одна, версии разные
Как установили эксперты Sophos, в репозиториях ischhfd83 хранятся, помимо прочего, различные версии трояна удаленного доступа (remote access trojan, RAT) под названием Sakura RAT. Они предполагают, что его автор (или авторы) встроил в него скрытый механизм, который тайно устанавливает различное вредоносное ПО на компьютеры тех, кто запускает серверную часть этого трояна.Другими словами, Sakura RAT заражает компьютеры тех, кто хочет подсадить его на машины обычных пользователей, то есть он атакует непосредственно хакеров. При этом свою основную функцию он не выполняет, то есть обычным пользователям он никакого вреда не несет.
По данным Sophos. большая часть кода Sakura RAT была скопирована из AsyncRAT – широко используемого в киберпреступных кругах вредоносного ПО. Однако часть оригинального кода в Sakura RAT отсутствует, вследствие чего именно как троян удаленного доступа этот софт работать не будет.
Однако то, что Sakura RAT действительно подгружает сторонние вредоносные файлы на ПК запустившего его хакера – это факт. В его коде были найдены соответствующие команды.
Масштабы деятельности
Исследователи их Sophos начали искать другие репозитории ischhfd83 и в итоге насчитали 143 связанных с ним хранилища. При этом лишь 24% находящихся в них программ «с сюрпризом» были нацелены именно на и преподносились как RAT или другое вредоносное ПО – 54% из них распространялись как программы для взлома видеоигр и подгружали опасный софт на компьютеры геймеров. Помимо игровых читов и вредоносного ПО, другие проекты были связаны с (7%), инструментами криптовалюты (5%) и другими разнообразными инструментами (6%).Деятельность ischhfd83 в основном охватывала 2024-2025 гг., однако исследователи полагают, что кампания против хакеров могла начаться в 2022 г.
Главное – пустить пыль в глаза
В Sophos отметили, что ischhfd83 «судя по всему, прикладывает немало усилий, чтобы его замаскированные репозитории выглядели легитимными» (appears to be going to some lengths to make their backdoored repositories seem legitimate). В частности, исследователи обнаружили, тот или те, кто стоит за этими хранилищами, использовал встроенный в GitHub механизм автоматизации задач Actions для автоматического добавления коммитов в репозитории. При этом в некоторых из них всего за месяц появилось около 60 тыс. коммитов.На первый взгляд, все это производит впечатление регулярно обновляемого, заслуживающего доверия хранилища, но только для неопытного пользователя. Однако те, у кого более острый глаз на детали, заметят неладное, пишет The Register.
В частности, большинство репозиториев имеют небольшое количество участников, почти ни у кого из которых не было собственных репозиториев. У многих были очень похожие имена пользователей, некоторые с несколькими измененными символами, и небольшое количество владельцев репозиториев вносили свой вклад только в проекты, созданные другими членами этой группы. Кроме того, эти пользователи почти всегда имели один и тот же адрес электронной почты, связанный, опять же, с ischhfd83.
