Hienostunut kampanja on suunnattu hakkereille, pelaajille ja tutkijoille, joilla on backay -lähdekoodi, joka on jaettu GitHub -arkistojen kautta. Haitallinen koodi, joka on piilotettu projektiin, jota usein mainostetaan hyväksikäytöksi, roboteiksi tai pelihuijauksiksi, antaa hyökkääjille etäkäytön tartunnan saaneille laitteille.
Sophos -tutkijat paljastivat operaation tutkiessaan ”Sakura Rat” -kadun, joka on ilmoitettu saatavana GitHubissa. Heidän analyysinsä paljasti, että Sakura-rottakoodi itsessään oli suurelta osin ei-funktionaalinen. Visual Studio -projektissa oli kuitenkin haittaohjelma, joka on suunniteltu lataamaan ja asentamaan haittaohjelmia, kun käyttäjät yrittivät koodin kääntämistä.
Jatkotutkimukset yhdistivät kustantajan “ISCHHFD83” 141 GitHub -arkiston verkkoon. Näistä 133: n havaittiin sisältävän piilotettuja takaovia, mikä osoittaa koordinoitua pyrkimystä jakaa haittaohjelmia.
Taustaovien upottamiseen käytetyt menetelmät vaihtelevat, mukaan lukien Python -skriptit hämärtyneillä hyötykuormilla, haitalliset näytönsäästäjä (.scr) -tiedostot, jotka hyödyntävät Unicode -temppuja, JavaScript -tiedostoja, jotka sisältävät koodatut hyötykuormat, ja haitallisia Visual Studio Prebuild -tapahtumia. Vaikka jotkut arkistot hylättiin vuoden 2023 lopulla, monet ovat edelleen aktiivisia automatisoitujen sitoumusten kanssa, jotka on suunniteltu luomaan väärän legitiimiyden ja toiminnan tunteen. Nämä automatisoidut työnkulut johtavat epätavallisen korkeaan sitoutumismäärään; Yhdellä maaliskuussa 2025 luodulla projektilla oli lähes 60 000 sitoumusta, ja keskimäärin kaikissa arkistoissa seisoi 4 446 Sophosin alkuperäisen tiedonkeruun aikaan.
Jokaisessa arkistossa oli jatkuvasti kolme avustajaa. Käytettiin myös erilaisia kustantajatilejä, ilman yhtä tiliä ei hallinnoi yli yhdeksää arkistoa. Näiden haitallisten arkistojen liikennettä ohjaa YouTube-, Discord- ja tietoverkkorikollisuusfoorumeiden ylennys. Erityisesti Sakura -rotan ympäröivän median huomion uskotaan vetäneen epäuskoisia käyttäjiä etsimään sitä GitHubista.
Kun uhri lataa nämä tiedostot, vain koodin käyttäminen tai rakentaminen laukaisee monivaiheisen infektioprosessin. Tämä prosessi sisältää VBS -skriptien suorittamisen, jota seuraa PowerShell lataamalla koodattu hyötykuorma kovakoodattuista URL -osoitteista. Tämä johtaa 7zip -arkiston hakemiseen GitHubista ja ’SearchFilter.exe’ -nimisen elektronisovelluksen suorittamiseen. Tämä elektronisovellus sisältää niputetun arkiston, jossa on voimakkaasti hämärtyneet ’main.js’ ja niihin liittyvät tiedostot. Nämä tiedostot sisältävät järjestelmän profiloinnin, komentojen suorittamisen, Windows Defenderin käytöstä poistamisen ja ylimääräisten hyötykuormien hakemisen.
Takaoven lataamat toissijaiset hyötykuormat sisältävät tunnettuja tiedonvarastajia ja etäkäyttöroijalaisia, kuten Lumma Sealeer, Asyncrat ja Remcos, jotka kaikki on varustettu laajoilla tietovarkausominaisuuksilla.
Vaikka osa troijalaisista arkistoista kohdistuu muihin hakkereihin, laajaa joukko vieheitä, mukaan lukien pelihuijaukset, mod -työkalut ja väärennetyt hyväksikäytöt, käytetään myös pelaajien, opiskelijoiden ja jopa kyberturvallisuustutkijoiden pelastamiseen.
Kun otetaan huomioon helppous, jolla kuka tahansa voi ladata lähdekoodin GitHubiin, käyttäjiä kehotetaan vahvasti tutkimaan lähdekoodia huolellisesti ja tarkistamaan kaikki projektien edeltävät ja sen jälkeen tapahtuvat tapahtumat ennen kuin laativat ohjelmistot, jotka on ladattu avoimen lähdekoodin arkistoista.
Source: Github -arkistot jakavat haittaohjelmat pelaajille ja hakkereille
