<div id="post_message_795568">

На GitHub снова ловушка — и на этот раз довольно хитроумная. Хакер под ником ischhfd83 выложил в открытый доступ якобы полезные инструменты: эксплойты, читы для игр и исходники под названием Sakura RAT. Только вот внутри — бэкдоры, открывающие злоумышленнику удалённый доступ к устройству жертвы.<br/>
<br/>
Компания Sophos начала <a href="https://news.sophos.com/en-us/2025/06/04/the-strange-tale-of-ischhfd83-when-cybercriminals-eat-their-own/" target="_blank">расследование </a>после того, как к ним обратился клиент с вопросом: насколько опасен этот самый Sakura RAT, раз он лежит на GitHub в открытом доступе?<br/>
<br/>
Ответ оказался неожиданным: сам исходник практически бесполезен, зато в нём спрятан PreBuildEvent. Как только кто-то решит собрать проект в Visual Studio, сразу срабатывает скрытая загрузка вредоноса.<br/>
<br/>
И это только верхушка айсберга: Sophos нашли ещё 141 репозиторий, связанный с этим хакером (или группой). В 133 из них — те же самые бэкдоры. Настоящая кампания по заражению доверчивых пользователей.<br/>
<br/>
<b><font size="4"><font color="White">В чём трюк?</font></font></b><br/>
<br/>
Репозитории выглядят «живыми»: десятки тысяч коммитов (у одного — почти 60 000, хотя создан он был только в марте 2025), три «постоянных» автора, регулярные обновления, хоть и полностью автоматические. Всё это создаёт впечатление легитимности — будто это реально активный open-source проект.<br/>
<br/>
Реклама этих репозиториев тоже ведётся грамотно: ссылки попадают в YouTube-видео, Discord-сообщества, а также на форумы по кибербезопасности. Особенно часто используется замануха вроде «читов для популярных игр», «инструментов для моддинга» и даже «сборщиков эксплойтов».<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://dl3.joxi.net/drive/2025/06/05/0048/3474/3202450/50/81cf710c80.jpg"/><br/>
<br/>
Что происходит после запуска?<br/>
<br/>
Если пользователь скачивает и запускает (или компилирует) код — начинается многоступенчатое заражение. Сначала на диск записываются и запускаются VBS-скрипты. Затем PowerShell качает зашифрованный пейлоад с жёстко заданным URL, распаковывает архив и запускает под видом Electron-приложения нечто под названием SearchFilter.exe.<br/>
<br/>
А уже оно загружает основной JS-код, в котором:<ul><li>собирается информация о системе,</li>
</ul><ul><li>отключается Защитник Windows,</li>
</ul><ul><li>запускаются команды и качаются другие вредоносы.</li>
</ul>Среди них — известные инфостилеры вроде Lumma Stealer, AsyncRAT и Remcos.<br/>
<br/>
<b><font size="4"><font color="white">Кого атакуют?</font></font></b><br/>
<br/>
Хотя на первый взгляд это всё нацелено на других хакеров (мол, хочешь попробовать RAT — вот тебе код), на деле также страдают:<ul><li>геймеры, которые ищут читы;</li>
</ul><ul><li>исследователи, которым интересны «инструменты»;</li>
</ul><ul><li>студенты, которые просто что-то тестируют.</li>
</ul><b><font size="4"><font color="white">Что делать?</font></font></b><br/>
<br/>
GitHub — открытая площадка, и загрузить туда может кто угодно. Поэтому всегда проверяйте, что за код вы запускаете или собираете. Особое внимание — на все pre- и post-build события. Именно туда чаще всего прячут сюрпризы.<br/>
<br/>
<a href="https://www.anti-malware.ru/news/2025-06-05-111332/46269" target="_blank">@ Anti-Malware </a>
</div>