Забыли обновить роутер? Поздравляем, хакеры используют его для взлома GitHub

Взлом маршрутизатора может показаться локальной неприятностью, а подмена кода в GitHub Actions — историей из совсем другого мира. Однако март 2026 года показал, что между домашними роутерами и корпоративными CI/CD-конвейерами иногда проходит одна и та же нить. Авторы исследования Ctrl-Alt-Intel пришли к выводу, что атака на Xygeni, о которой раньше говорили отдельно, связана с кампанией по захвату TP-Link и ASUS для создания скрытой прокси-сети.

Команда занималась совсем другой темой — отслеживала злоумышленников, которые превращают взломанные устройства на границе сети в резидентские прокси. Во время расследования специалисты нашли следы инструмента microsocks на потребительских роутерах TP-Link, а рядом — управляющий модуль ShadowLink.

Разбор показал неожиданное совпадение: тот же протокол связи с сервером управления, тот же порядок обмена командами и тот же секрет аутентификации использовались во вредоносном компоненте, внедрённом 3 марта в GitHub Action компании Xygeni.

По данным Ctrl-Alt-Intel, на TP-Link злоумышленники использовали уязвимость CVE-2024-21833, чтобы загружать скрипт, подбирать бинарный файл под архитектуру устройства, поднимать SOCKS5-прокси и закрепляться в системе через cron, rc.local и NVRAM.

Такой узел маскировался под системный процесс и позволял пропускать трафик через обычный домашний IP-адрес, что помогает обходить блокировки, CAPTCHA и ограничения по частоте запросов. Для ASUS нашли облегчённый вариант ShadowLink, который, похоже, собирал сведения об устройстве и готовил почву для дальнейшего развёртывания.

Связь с атакой на Xygeni выглядит особенно примечательно, потому что вредоносный код в GitHub Action работал почти по той же схеме. В начале марта злоумышленники открыли несколько поддельных Pull Request, а затем перенаправили тег v5 на изменённый коммит.

После запуска такой Action отправлял сведения на сервер управления, получал команды, исполнял их и возвращал результат в сжатом и закодированном виде. Для маскировки использовался домен через nip.io, который выглядел правдоподобнее, чем прямое подключение к IP-адресу.

Авторы отчёта отдельно сравнили находки с активностью TeamPCP — группы, которую уже связывали с мартовскими инцидентами вокруг Trivy и Checkmarx. Прямых технических доказательств общей инфраструктуры не нашлось, хотя временной интервал, выбор целей и интерес к прокси-сетям заметно пересекаются.

Ctrl-Alt-Intel не делает жёсткой атрибуции, но утверждает другое: оператор, строивший резидентскую прокси-сеть на базе TP-Link и ASUS, стоял и за компрометацией Xygeni. Осталось понять, идёт ли речь о TeamPCP, близкой структуре или о другом игроке, который пришёл к тем же методам раньше остальных.