Οι κυβερνοεγκληματίες οπλίζουν πλέον το ίδιο το GitHub. Δημιουργούν πλαστά αποθετήρια που υπόσχονται λειτουργικό κώδικα απόδειξης ιδέας για ελαττώματα ασφαλείας υψηλού προφίλ. Αντίθετα, παραδίδουν μια άσχημη κερκόπορτα που ονομάζεται WebRAT.
Αυτό δεν είναι το πρώτο ροντέο του WebRAT. Το κακόβουλο πρόγραμμα εμφανίστηκε για πρώτη φορά στις αρχές του έτους και εξαπλώθηκε μέσω πειρατικών εργαλείων καθώς και cheat παιχνιδιών για Counter Strike, Roblox, ακόμη και Rust. Αλλά οι χειριστές μόλις ανέβασαν το παιχνίδι τους. Τώρα στοχεύουν ένα πολύ πιο τεχνικό κοινό με μια έξυπνα συγκαλυμμένη μέθοδο διανομής.
Εκμεταλλευόμενοι τους κυνηγούς εκμετάλλευσης
Τουλάχιστον από τον Σεπτέμβριο, οι φορείς απειλών έχουν δημιουργήσει εκλεπτυσμένα αποθετήρια GitHub. Αυτά τα repos ισχυρίζονται ότι παρέχουν λειτουργικά exploits για πολλά τρωτά σημεία που έγιναν πρωτοσέλιδα. Οι ερευνητές ασφαλείας της Kaspersky ανακάλυψαν 15 αποθετήρια που ωθούν το WebRAT με αυτόν τον τρόπο.
Ένα σύνολο πλαστών εκμεταλλεύσεων ανέδειξε αρκετά σημαντικά τρωτά σημεία ασφαλείας. Το πρώτο ήταν το CVE-2025-59295, το οποίο ισχυρίζεται ότι είναι μια υπερχείλιση buffer βασισμένη σε σωρό εντός MSHTML και Internet Explorer σε λειτουργικά συστήματα Windows. Το προφανές τελικό αποτέλεσμα της «εκμετάλλευσης» είναι ότι, στέλνοντας ειδικά δημιουργημένα πακέτα δικτύου, ένας εισβολέας μπορεί να εκτελέσει αυθαίρετο κώδικα σε έναν κεντρικό υπολογιστή στόχο εξ αποστάσεως.
Το δεύτερο ήταν το CVE-2025-10294, το οποίο διαφημίστηκε ως κρίσιμη παράκαμψη ελέγχου ταυτότητας που επηρεάζει το WordPress χωρίς συνδέσεις με κωδικό πρόσβασης. Ισχυρισμός ότι μπορεί να δώσει σε έναν εισβολέα τη δυνατότητα να συνδεθεί ως οποιοσδήποτε χρήστης, συμπεριλαμβανομένων των Διαχειριστών, χωρίς να χρησιμοποιεί καθόλου έλεγχο ταυτότητας.
Τέλος, η τρίτη ψεύτικη διαφήμιση ήταν το CVE-2025-59230 — μια ευπάθεια επόμενου επιπέδου προνομίων στο Remote Access Connection Manager (RACM) της Microsoft. Η προφανής αδυναμία του RACM θα επέτρεπε στους τοπικούς εισβολείς να αυξήσουν τα προνόμιά τους στην πρόσβαση σε επίπεδο SYSTEM.
Κάθε αποθετήριο φαινόταν νόμιμο. Παρείχαν λεπτομερείς πληροφορίες σχετικά με την ευπάθεια, εξήγησαν τι κάνει το υποτιθέμενο exploit και ακόμη απαριθμούσαν τους διαθέσιμους μετριασμούς. Οι ερευνητές της Kaspersky πιστεύουν ότι όλο αυτό το κείμενο δημιουργήθηκε χρησιμοποιώντας μοντέλα τεχνητής νοημοσύνης. Η δομή και η παρουσίαση ήταν αρκετά επαγγελματικές για να ξεγελάσουν έμπειρους προγραμματιστές.
Σύμφωνα με μια SolarΑναφορά 4RAYSαπό τον Μάιο, το WebRAT είναι μια κερκόπορτα με εκτεταμένες δυνατότητες κλοπής πληροφοριών. Αναζητά διαπιστευτήρια από λογαριασμούς Steam, Discord και Telegram. Τι περισσότερο! Στοχεύει σε δεδομένα πορτοφολιών που διαθέτουν εικονικά περιουσιακά στοιχεία, τα οποία είναι εξαιρετικά πολύτιμα για τους κακούς ηθοποιούς.
Ωστόσο, το κακόβουλο πρόγραμμα δεν πειράζει μόνο τις αποθηκευμένες πληροφορίες. Προσεγγίζει τα θύματα μέσω webcam και λαμβάνει στιγμιότυπα οθόνης από οτιδήποτε κάνουν.
Τα ψεύτικα exploits φτάνουν ως αρχεία ZIP που προστατεύονται με κωδικό πρόσβασης. Μέσα, τα θύματα βρίσκουν ένα κενό αρχείο με τον κωδικό πρόσβασης ως όνομα αρχείου, ένα κατεστραμμένο decoy DLL, ένα αρχείο δέσμης για την αλυσίδα εκτέλεσης και το κύριο σταγονόμετρο που ονομάζεται rasmanesc.exe.
Μόλις εκτελεστεί, το σταγονόμετρο αρχίζει να λειτουργεί αμέσως. Αυξάνει τα προνόμιά του στο σύστημα και απενεργοποιεί το Windows Defender για να αποφύγει τον εντοπισμό. Η άμυνα από κακόβουλο λογισμικό που επιδιώκει ενεργά να απενεργοποιήσει την ασφάλεια απαιτεί μια ισχυρή, ανθεκτική λύση ασφαλείας. Στη συνέχεια κατεβάζει και εκτελεί το πλήρες ωφέλιμο φορτίο WebRAT από μια διεύθυνση URL με σκληρό κώδικα.
Το WebRAT έχει πολλές τακτικές επιμονής για να βεβαιωθεί ότι ξεπερνά τις επανεκκινήσεις του συστήματος. Αλλάζει τις καταχωρήσεις μητρώου των Windows, χρησιμοποιεί το Task Scheduler και αναπτύσσεται σε τυχαίους καταλόγους συστήματος. Αυτά κάνουν την αφαίρεση δύσκολη για τα μολυσμένα θύματα.
Kasperskyσημειώνει ότι το WebRAT αυτής της καμπάνιαςη παραλλαγή ταιριάζει με προηγούμενα τεκμηριωμένα δείγματα. «Οι επιχειρησιακές δυνατότητες παραμένουν συνεπείς με προηγούμενες εκθέσεις», εξήγησαν οι ερευνητές. Το κακόβουλο λογισμικό διατηρεί τις ίδιες λειτουργίες κλοπής διαπιστευτηρίων, κατασκοπείας μέσω webcam και λήψης στιγμιότυπου οθόνης.
Η χρήση ψεύτικων εκμεταλλεύσεων στο GitHub για τη διάδοση κακόβουλου λογισμικού δεν είναι κάτι καινούργιο. Οι ερευνητές ασφαλείας έχουν τεκμηριώσει αυτή την τακτική εκτενώς στο παρελθόν. Πρόσφατα, παράγοντες απειλών προώθησαν ένα ψεύτικο εκμεταλλεύσιμο «LDAPNightmare» στο GitHub για τη διάδοση κακόβουλου λογισμικού κλοπής πληροφοριών μέσω παρόμοιων μεθόδων.
Αυτό το περιστατικό είναι μέρος ενός ευρύτερου μοτίβου εισβολέων που οπλίζουν το οικοσύστημα του GitHub, όπως φαίνεται σε μια ξεχωριστή καμπάνια όπου οι χάκερ παραβίασαν πολλούς οργανισμούςθέτοντας σε κίνδυνο τις νόμιμες εφαρμογές OAuthστην πλατφόρμα.
Η Kaspersky εντόπισε κακόβουλα αποθετήρια στο GitHub και συνέταξε μια λίστα με αυτά. Ωστόσο, αναμένεται ότι οι κακόβουλοι παράγοντες θα συνεχίσουν να προσπαθούν να παρασύρουν τους χρήστες να κατεβάσουν το κακόβουλο λογισμικό τους δημιουργώντας και υποβάλλοντας νέα αποθετήρια με διαφορετικά ονόματα εκδοτών. Χωρίς ουσιαστικά κανένα εμπόδιο στην είσοδο, είναι εύκολο για τους κακόβουλους παράγοντες να υποβάλουν νέα αποθετήρια που φαίνονται νόμιμα σε ανυποψίαστους χρήστες.
Ως θέμα βέλτιστης πρακτικής, κατά τη δοκιμή κώδικα ή εκμεταλλεύσεων από δυνητικά μη αξιόπιστες πηγές, η Kaspersky συνιστά στους προγραμματιστές και τους επαγγελματίες ασφαλείας να τις εκτελούν σε ελεγχόμενο περιβάλλον και να διασφαλίζουν ότι είναι σε θέση να ελέγχουν το περιβάλλον στο οποίο εκτελείται ο κώδικας εκμετάλλευσης.