Фальшивый open-source: на GitHub распространяют вредоносный код под видом инструментов для хакеров и геймеров

GitHub вновь стал каналом распространения вредоносов — только теперь под видом инструментов для хакеров, моддеров и геймеров. Специалисты Sophos сообщили о масштабной кампании, связанной с аккаунтом ischhfd83, который размещал в открытом доступе сотни репозиториев с якобы полезными утилитами. Среди них — эксплойты, читы для популярных игр и особенно примечательный проект под названием Sakura RAT.

На первый взгляд код казался безвредным, но при сборке в Visual Studio активировалось скрытое событие PreBuildEvent, запускающее загрузку вредоносного ПО. Вскоре Sophos выявила еще 141 подобный репозиторий, из которых 133 содержали аналогичный бэкдор. Все это указывает на масштабную и грамотно организованную атаку.

Репозитории маскировались под активные open-source-проекты: десятки тысяч коммитов (у одного — почти 60 000 с марта 2025 года), несколько авторов, регулярные «обновления». Кампания сопровождалась грамотным продвижением — ссылки распространялись в YouTube-видео, Discord-каналах, на форумах и даже в сообществах по кибербезопасности.

После запуска вредоносного кода происходило многоступенчатое заражение системы. Сначала запускались VBS-скрипты, затем PowerShell подгружал зашифрованный архив, маскируемый под Electron-приложение SearchFilter.exe. Этот компонент собирал системную информацию, отключал Windows Defender и загружал дополнительные вредоносы, включая Lumma Stealer, AsyncRAT и Remcos.

Хотя приманка рассчитана на хакеров и исследователей, жертвами часто становятся геймеры, студенты, тестировщики и просто любопытные пользователи.

GitHub остается открытой площадкой, где опубликовать код может кто угодно. Поэтому важно внимательно изучать проекты перед их запуском или компиляцией. Особое внимание стоит уделять pre- и post-build событиям, поскольку именно они нередко используются для внедрения вредоносного функционала.