Анонс лучших ИБ мероприятий
Image

Твоя ИБ-афиша готова

Здесь только лучшие вебинары, курсы и конференции по ИБ.

Читы для Fortnite и Roblox оказались вирусом. На GitHub нашли сотни фальшивых архивов

leer en español

FakeGit GitHub StealC LuaJIT Polygon ESET BitDefender
Читы для Fortnite и Roblox оказались вирусом. На GitHub нашли сотни фальшивых архивов
FakeGit GitHub StealC LuaJIT Polygon ESET BitDefender

Степень маскировки кода достигла уровня полной невидимости.

image

Масштабная вредоносная кампания FakeGit больше года использовала GitHub как витрину для заражённых архивов, замаскированных под взломанные расширения, игровые читы, утилиты для разработчиков и контент для взрослых. По данным автора анализа под ником «Kirk», с марта 2025 года преступники разместили не менее 600 уникальных ZIP-архивов через 47 и более аккаунтов, а на начало марта активными оставались как минимум 25 профилей.

Архивы выдавали себя за дополнения для Jira, Asana, Todoist, Trello, Notion, Figma, Slack, Zoom и других сервисов, а также за инструменты для Roblox, Fortnite, Counter-Strike 2 и Valorant. Внутри находилась цепочка загрузки на базе LuaJIT. Репозитории оформляли с помощью сгенерированных описаний, а все ссылки в README вели на один и тот же файл. Пользователей подталкивали включить режим разработчика в Chrome и загрузить распакованную папку как расширение.

Финальной нагрузкой оказывался стилер StealC, который крал данные из Chrome, Brave, Edge и Firefox, а также вытягивал сведения из Outlook, FoxMail, WinSCP и Steam. Вредонос собирал логины, cookie-файлы, историю, токены, делал снимки экрана и мог догружать дополнительные модули через PowerShell и msiexec.

Злоумышленники построили схему так, чтобы не менять уже разосланные файлы при переносе серверов управления. Загрузчик запрашивал текущий адрес C2 через смарт-контракт в сети Polygon, после чего получал зашифрованные блоки с GitHub-репозиториев, использовавшихся как «мёртвые дропы». Адреса инфраструктуры менялись прямо через транзакции в блокчейне. По подсчётам автора доклада, контракт первой версии успел пройти через 50 значений C2, а обе версии контрактов по-прежнему активны.

Анализ показал и признаки компрометации чужих GitHub-аккаунтов. Среди профилей, где рядом с легитимными проектами появился вредоносный репозиторий, названы MaybeDesxie7, ShifaIshfaque, Mahmudul-Riad, sherinshamr и SYS123232. При этом одни и те же исполняемые файлы и Lua-модули встречались в архивах для совершенно разных приманок, что указывает на одного оператора.

К марту этого года злоумышленник довёл маскировку до уровня, при котором часть актуальных Lua-компонентов не детектировалась антивирусами на VirusTotal вовсе. За время кампании авторы отслеживания насчитали 16 поколений обфускации. BitDefender помечает архивы как Gen:Heur.FakeGit.1, а ESET относит Lua-компоненты к семейству Lua/Agent.