Поделиться
Российский хакер построил сеть репозиториев с вредоносным ПО для взлома собственных коллег
На GitHub выявлена сеть из свыше 100 репозиториев с вредоносным ПО. Ее мог создать всего один разработчик, профиль которого привязан к электронной почте на российском домене. Весь этот софт предназначается для взлома непосредственно киберпреступников.
Один против всех
В сервисе GitHub обнаружено более сотни репозиториев, в которых хранится вредоносное ПО. Это отдельная сеть, вот только хранящийся в ней софт нужен для взлома вовсе не обычных пользователей, а для атак на других хакеров, пишет The Register.
По информации издания, вся эта сеть может быть создана всего одним человеком под псевдонимом ischhfd83. Исследователи компании Sophos, разработчика средств информационной безопасности, установили, что это может быть пользователь из России, так как привязанная к его аккаунтам электронная почта зарегистрирована на Rambler.ru.
Установить личность владельца аккаунтов пока не удалось, и в Sophos не исключают вероятности, что под никнеймом ischhfd83 может скрываться группа лиц. Весь созданный ischhfd83 софт предназначен для взлома начинающих хакеров, пока не способных написать свое вредоносное ПО или не имеющих денег на приобретение готового и желающих получить хакерский инструментарий бесплатно.
«Кто-то приложил немало усилий, чтобы нажиться на следующем поколении хакеров», – пишет The Register.
Программа одна, версии разные
Как установили эксперты Sophos, в репозиториях ischhfd83 хранятся, помимо прочего, различные версии трояна удаленного доступа (remote access trojan, RAT) под названием Sakura RAT. Они предполагают, что его автор (или авторы) встроил в него скрытый механизм, который тайно устанавливает различное вредоносное ПО на компьютеры тех, кто запускает серверную часть этого трояна.
Другими словами, Sakura RAT заражает компьютеры тех, кто хочет подсадить его на машины обычных пользователей, то есть он атакует непосредственно хакеров. При этом свою основную функцию он не выполняет, то есть обычным пользователям он никакого вреда не несет.
По данным Sophos. большая часть кода Sakura RAT была скопирована из AsyncRAT – широко используемого в киберпреступных кругах вредоносного ПО. Однако часть оригинального кода в Sakura RAT отсутствует, вследствие чего именно как троян удаленного доступа этот софт работать не будет.
Однако то, что Sakura RAT действительно подгружает сторонние вредоносные файлы на ПК запустившего его хакера – это факт. В его коде были найдены соответствующие команды.
Масштабы деятельности
Исследователи их Sophos начали искать другие репозитории ischhfd83 и в итоге насчитали 143 связанных с ним хранилища. При этом лишь 24% находящихся в них программ «с сюрпризом» были нацелены именно на хакеров и преподносились как RAT или другое вредоносное ПО – 54% из них распространялись как программы для взлома видеоигр и подгружали опасный софт на компьютеры геймеров. Помимо игровых читов и вредоносного ПО, другие проекты были связаны с ботами (7%), инструментами криптовалюты (5%) и другими разнообразными инструментами (6%).
Деятельность ischhfd83 в основном охватывала 2024-2025 гг., однако исследователи полагают, что кампания против хакеров могла начаться в 2022 г.
Главное – пустить пыль в глаза
В Sophos отметили, что ischhfd83 «судя по всему, прикладывает немало усилий, чтобы его замаскированные репозитории выглядели легитимными» (appears to be going to some lengths to make their backdoored repositories seem legitimate). В частности, исследователи обнаружили, тот или те, кто стоит за этими хранилищами, использовал встроенный в GitHub механизм автоматизации задач Actions для автоматического добавления коммитов в репозитории. При этом в некоторых из них всего за месяц появилось около 60 тыс. коммитов.
На первый взгляд, все это производит впечатление регулярно обновляемого, заслуживающего доверия хранилища, но только для неопытного пользователя. Однако те, у кого более острый глаз на детали, заметят неладное, пишет The Register.
В частности, большинство репозиториев имеют небольшое количество участников, почти ни у кого из которых не было собственных репозиториев. У многих были очень похожие имена пользователей, некоторые с несколькими измененными символами, и небольшое количество владельцев репозиториев вносили свой вклад только в проекты, созданные другими членами этой группы. Кроме того, эти пользователи почти всегда имели один и тот же адрес электронной почты, связанный, опять же, с ischhfd83.
Одних репозиториев недостаточно
Sophos – не первая ИБ-фирма, которая изучает подобные хакерские кампании. В этом же направлении с 2022 г. работает Checkmarx, а также свои наработки имеются у Trend Micro, «Лаборатории Касперского», Check Point и ряда других компаний, отмечает The Register.
Хотя модель распространения кампаний ischhfd83 пока не ясна, предыдущие исследования выявили, что в качестве основных средств распространения ссылок на вредоносные проекты GitHub для заражения потенциальных киберпреступников хакеры используют мессенджер Discord и видеосервис YouTube. Первый заблокирован на территории России с октября 2024 г., а второй замедляется с июля 2024 г.
Sophos заявила, что киберпреступники редко нападают на своих коллег. Однако в мае 2025 г. компания опубликовала результаты отдельного расследования, в котором было установлено, что DragonForce, команда вымогателей, недавно связанная с крупными атаками на британских ритейлеров, портила сайты конкурентов в попытке захватить рынок.
Когда эксперты Sophos поняли, что происходит, они оперативно сообщили о проекте Sakura RAT с бэкдором модераторам GitHub, и те довольно быстро закрыли репозитории.
Программисты в опасности
Сторонние наблюдатели могут порадоваться тому, что киберпреступники начали атаковать других хакеров. Однако невольными жертвами этого противостояния могут стать и обычные начинающие программисты, учащиеся писать код по открытым проектам сторонних авторов, пишет The Register. Их легко могут ввести в заблуждение накрученные коммиты – на фоне их количества они могут подумать, что проект безопасен, и запустят его на своем ПК.
«Остается неясным, связана ли эта кампания напрямую с некоторыми или всеми предыдущими кампаниями, о которых сообщалось, но этот подход, похоже, популярен и эффективен и, вероятно, будет продолжаться в той или иной форме.«В будущем, возможно, фокус может измениться, и субъекты угроз могут нацелиться на другие группы, помимо неопытных киберпреступников и геймеров, использующих читы», – подытожили эксперты Sophos.
Поделиться
Короткая ссылка
