GitHub стал «хабом» для вредоносов — и это не шутка

В киберпространстве выявлен новый игрок — группа Water Curse, которая с марта 2023 года ведёт скрытую, но масштабную кампанию по распространению сложных вредоносных программ через поддельные репозитории на GitHub. Как установили специалисты Trend Micro, деятельность группы отличается высоким уровнем автоматизации, разнообразием инструментов и прицельной атакой на цепочки поставок, включая разработчиков, системных администраторов и представителей информационной безопасности.

В качестве приманки злоумышленники создавали репозитории, якобы содержащие легитимные утилиты для пентестинга , но на деле в конфигурации проектов Visual Studio скрывались опасные компоненты — от SMTP-спамеров до полноценного трояна Sakura RAT. После запуска вредоносный код активировал сложную цепочку заражения с использованием VBS- и PowerShell-скриптов, шифрованных архивов и приложений на базе Electron. Всё это сопровождалось детальной разведкой системы жертвы и применением техник уклонения от обнаружения, включая антиотладку, эскалацию привилегий и устойчивую фиксацию в системе.

Water Curse не ограничивается одним типом вредоноса. В их арсенале обнаружены утилиты для обхода защиты, генераторы спама, заражённые игровые читы, криптовалютные инструменты, средства сбора открытых данных, а также обширный набор шпионских функций. Особое внимание уделяется похищению учётных данных, токенов сессий и чувствительной информации из браузеров. Для передачи похищенного активно используются Telegram и публичные файлообменники.

Анализ репозиториев показал, что для этой кампании было задействовано не менее 76 аккаунтов на GitHub. Судя по коду, документации и языковым признакам, участники группы ориентированы на киберпреступный рынок и активно зарабатывают на продаже доступов и данных. И хотя масштабы операции огромны, инструменты и методы доставки спроектированы так, чтобы казаться разработчикам вполне правдоподобными, чем и достигается высокая эффективность атак.

Помимо Water Curse, в отчёте упоминаются и другие вредоносные кампании, использующие стратегию ClickFix для доставки вредоносных программ. Среди них — AsyncRAT, DeerStealer, Filch Stealer, LightPerlGirl и SectopRAT. Эти инструменты попадают в системы жертв через временные туннели Cloudflare, которые создают временные поддомены, визуально не отличимые от легитимных, и позволяют обходить защиту периметра компаний без использования заражённых серверов или bulletproof-хостинга.

Применение таких туннелей делает атаки практически невидимыми для классических защитных систем, поскольку инфраструктура создаётся на лету, не оставляя постоянных следов. Это создаёт серьёзные трудности для ИБ-служб, пытающихся различить легитимную DevOps-активность от вредоносной.

В совокупности эти атаки демонстрируют всё более изощрённый подход злоумышленников к масштабированию операций, манипулированию легитимной инфраструктурой и глубокой интеграции вредоносных действий в цифровую повседневность разработчиков и специалистов. GitHub, OneDrive, MediaFire, Cloudflare — всё чаще используются как инструменты доставки в операциях, которые традиционно ассоциировались с теневыми форумами и анонимным хостингом.