Χάκερ στοχεύει άλλους χάκερ και gamers με κρυφό κώδικα GitHub
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Χάκερ στοχεύει άλλους χάκερ και gamers με κρυφό κώδικα GitHub
https://www.secnews.gr/650152/hacker-stoxevei-allous-hacker-gamers-krifo-kodika-github/
Jun 4th 2025, 16:16
by Absenta Mia
Ένας χάκερ στοχεύει άλλους χάκερ, gamers και ερευνητές, χρησιμοποιώντας exploits, bots και cheats για παιχνίδια που περιέχονται σε πηγαίο κώδικα ανεβασμένο στο GitHub και περιλαμβάνουν κρυφά backdoors που παρέχουν στον κακόβουλο παράγοντα απομακρυσμένη πρόσβαση στις μολυσμένες συσκευές.
Δείτε επίσης: Χάκερ εκμεταλλεύονται σοβαρές ευπάθειες του vBulletin
Αυτή η εκστρατεία αποκαλύφθηκε από ερευνητές της Sophos, στους οποίους απευθύνθηκε ένας πελάτης για να εκτιμήσουν τον κίνδυνο ενός απομακρυσμένου trojan πρόσβασης με την ονομασία Sakura RAT, το οποίο διατίθεται ελεύθερα στο GitHub.
Οι ερευνητές διαπίστωσαν ότι ο κώδικας του Sakura RAT ήταν κατά βάση μη λειτουργικός, αλλά περιείχε ένα PreBuildEvent στο project του Visual Studio που κατέβαζε και εγκαθιστούσε κακόβουλο λογισμικό στις συσκευές εκείνων που προσπαθούσαν να τον μεταγλωττίσουν. Ο δημιουργός του, με το όνομα "ischhfd83", συνδέθηκε άμεσα ή έμμεσα με άλλα 141 αποθετήρια στο GitHub, εκ των οποίων τα 133 περιείχαν κρυφά backdoor — γεγονός που αποκαλύπτει μια συντονισμένη εκστρατεία διανομής malware.
Η επιλογή των backdoors περιλαμβάνει Python scripts με παραλλαγμένα (obfuscated) ωφέλιμα φορτία, κακόβουλα αρχεία screensaver (.scr) που χρησιμοποιούν τεχνάσματα Unicode, αρχεία JavaScript με κωδικοποιημένα φορτία, καθώς και γεγονότα PreBuild στο Visual Studio.
Ορισμένα αποθετήρια φαίνεται να έχουν εγκαταλειφθεί από τα τέλη του 2023, ωστόσο πολλά παραμένουν ενεργά με τακτικές υποβολές κώδικα (commits), κάποιες εκ των οποίων πραγματοποιήθηκαν λίγα μόλις λεπτά πριν την ανάλυση της Sophos.
Δείτε ακόμα: Οι χάκερ εκμεταλλεύονται το AI για διάδοση ransomware
Οι υποβολές αυτές είναι πλήρως αυτοματοποιημένες, με μοναδικό σκοπό να δημιουργούν μια ψευδή εικόνα δραστηριότητας, προσδίδοντας στα κακόβουλα projects την ψευδαίσθηση της νομιμότητας. Ο αριθμός των συνεισφερόντων περιορίζεται σταθερά σε τρεις συγκεκριμένους χρήστες για κάθε αποθετήριο, ενώ για τη δημοσίευση χρησιμοποιούνται διαφορετικοί λογαριασμοί — κανένας από τους οποίους δεν σχετίζεται με περισσότερα από εννέα αποθετήρια.
Χάκερ στοχεύει άλλους χάκερ και gamers με κρυφό κώδικα GitHub
Τα αποθετήρια αυτά προσελκύουν επισκεψιμότητα μέσω βίντεο στο YouTube, συζητήσεων στο Discord και αναρτήσεων σε φόρουμ κυβερνοεγκλήματος. Το ίδιο το Sakura RAT έλαβε κάποια δημοσιότητα, προκαλώντας το ενδιαφέρον περίεργων "script kiddies", οι οποίοι άρχισαν να το αναζητούν στο GitHub. Ωστόσο, όταν τα θύματα κατεβάσουν τα αρχεία, η εκτέλεση ή η μεταγλώττισή τους ενεργοποιεί ένα στάδιο μόλυνσης πολλαπλών βημάτων.
Η διαδικασία αυτή περιλαμβάνει την εκτέλεση VBS scripts στον δίσκο, τη χρήση του PowerShell για τη λήψη ενός κωδικοποιημένου ωφέλιμου φορτίου από προκαθορισμένα URLs, την ανάκτηση ενός αρχείου 7zip από το GitHub και την εκτέλεση μιας εφαρμογής Electron με την ονομασία SearchFilter.exe.
Η εφαρμογή φορτώνει ένα ενσωματωμένο αρχείο που περιέχει ένα έντονα παραλλαγμένο main.js και συναφή αρχεία, τα οποία περιλαμβάνουν κώδικα για αποτύπωση συστήματος (system profiling), εκτέλεση εντολών, απενεργοποίηση του Windows Defender και λήψη πρόσθετων ωφέλιμων φορτίων.
Τα επιπλέον ωφέλιμα φορτία που κατεβάζει το backdoor περιλαμβάνουν info-stealers και trojans απομακρυσμένης πρόσβασης όπως τα Lumma Stealer, AsyncRAT και Remcos, όλα με εκτεταμένες δυνατότητες κλοπής δεδομένων.
Δείτε επίσης: ConnectWise: Κρατικοί hackers πίσω από την κυβερνοεπίθεση;
Ένα βασικό στοιχείο που προκύπτει από τα παραπάνω είναι το πώς οι χάκερ εκμεταλλεύονται την εμπιστοσύνη που υπάρχει σε κοινότητες ανάπτυξης λογισμικού όπως το GitHub, για να διανείμουν κακόβουλο λογισμικό με ύπουλο τρόπο. Αυτό που είναι ιδιαίτερα ανησυχητικό είναι η χρήση δημοφιλών εργαλείων και γλωσσών προγραμματισμού (όπως PowerShell, VBS, JavaScript και Electron), που συνήθως δεν προκαλούν υποψίες, καθώς και η ενσωμάτωση κακόβουλου κώδικα σε scripts ή σε φαινομενικά αθώα έργα ανοιχτού κώδικα. Έτσι, στοχεύουν ειδικά κοινότητες που είναι πιο πιθανό να δοκιμάσουν ή να τροποποιήσουν τέτοιον κώδικα — όπως προγραμματιστές, gamers, ή ερευνητές ασφάλειας.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Χάκερ στοχεύει άλλους χάκερ και gamers με κρυφό κώδικα GitHub
https://www.secnews.gr/650152/hacker-stoxevei-allous-hacker-gamers-krifo-kodika-github/
Jun 4th 2025, 16:16
by Absenta Mia
Ένας χάκερ στοχεύει άλλους χάκερ, gamers και ερευνητές, χρησιμοποιώντας exploits, bots και cheats για παιχνίδια που περιέχονται σε πηγαίο κώδικα ανεβασμένο στο GitHub και περιλαμβάνουν κρυφά backdoors που παρέχουν στον κακόβουλο παράγοντα απομακρυσμένη πρόσβαση στις μολυσμένες συσκευές.
Δείτε επίσης: Χάκερ εκμεταλλεύονται σοβαρές ευπάθειες του vBulletin
Αυτή η εκστρατεία αποκαλύφθηκε από ερευνητές της Sophos, στους οποίους απευθύνθηκε ένας πελάτης για να εκτιμήσουν τον κίνδυνο ενός απομακρυσμένου trojan πρόσβασης με την ονομασία Sakura RAT, το οποίο διατίθεται ελεύθερα στο GitHub.
Οι ερευνητές διαπίστωσαν ότι ο κώδικας του Sakura RAT ήταν κατά βάση μη λειτουργικός, αλλά περιείχε ένα PreBuildEvent στο project του Visual Studio που κατέβαζε και εγκαθιστούσε κακόβουλο λογισμικό στις συσκευές εκείνων που προσπαθούσαν να τον μεταγλωττίσουν. Ο δημιουργός του, με το όνομα "ischhfd83", συνδέθηκε άμεσα ή έμμεσα με άλλα 141 αποθετήρια στο GitHub, εκ των οποίων τα 133 περιείχαν κρυφά backdoor — γεγονός που αποκαλύπτει μια συντονισμένη εκστρατεία διανομής malware.
Η επιλογή των backdoors περιλαμβάνει Python scripts με παραλλαγμένα (obfuscated) ωφέλιμα φορτία, κακόβουλα αρχεία screensaver (.scr) που χρησιμοποιούν τεχνάσματα Unicode, αρχεία JavaScript με κωδικοποιημένα φορτία, καθώς και γεγονότα PreBuild στο Visual Studio.
Ορισμένα αποθετήρια φαίνεται να έχουν εγκαταλειφθεί από τα τέλη του 2023, ωστόσο πολλά παραμένουν ενεργά με τακτικές υποβολές κώδικα (commits), κάποιες εκ των οποίων πραγματοποιήθηκαν λίγα μόλις λεπτά πριν την ανάλυση της Sophos.
Δείτε ακόμα: Οι χάκερ εκμεταλλεύονται το AI για διάδοση ransomware
Οι υποβολές αυτές είναι πλήρως αυτοματοποιημένες, με μοναδικό σκοπό να δημιουργούν μια ψευδή εικόνα δραστηριότητας, προσδίδοντας στα κακόβουλα projects την ψευδαίσθηση της νομιμότητας. Ο αριθμός των συνεισφερόντων περιορίζεται σταθερά σε τρεις συγκεκριμένους χρήστες για κάθε αποθετήριο, ενώ για τη δημοσίευση χρησιμοποιούνται διαφορετικοί λογαριασμοί — κανένας από τους οποίους δεν σχετίζεται με περισσότερα από εννέα αποθετήρια.
Χάκερ στοχεύει άλλους χάκερ και gamers με κρυφό κώδικα GitHub
Τα αποθετήρια αυτά προσελκύουν επισκεψιμότητα μέσω βίντεο στο YouTube, συζητήσεων στο Discord και αναρτήσεων σε φόρουμ κυβερνοεγκλήματος. Το ίδιο το Sakura RAT έλαβε κάποια δημοσιότητα, προκαλώντας το ενδιαφέρον περίεργων "script kiddies", οι οποίοι άρχισαν να το αναζητούν στο GitHub. Ωστόσο, όταν τα θύματα κατεβάσουν τα αρχεία, η εκτέλεση ή η μεταγλώττισή τους ενεργοποιεί ένα στάδιο μόλυνσης πολλαπλών βημάτων.
Η διαδικασία αυτή περιλαμβάνει την εκτέλεση VBS scripts στον δίσκο, τη χρήση του PowerShell για τη λήψη ενός κωδικοποιημένου ωφέλιμου φορτίου από προκαθορισμένα URLs, την ανάκτηση ενός αρχείου 7zip από το GitHub και την εκτέλεση μιας εφαρμογής Electron με την ονομασία SearchFilter.exe.
Η εφαρμογή φορτώνει ένα ενσωματωμένο αρχείο που περιέχει ένα έντονα παραλλαγμένο main.js και συναφή αρχεία, τα οποία περιλαμβάνουν κώδικα για αποτύπωση συστήματος (system profiling), εκτέλεση εντολών, απενεργοποίηση του Windows Defender και λήψη πρόσθετων ωφέλιμων φορτίων.
Τα επιπλέον ωφέλιμα φορτία που κατεβάζει το backdoor περιλαμβάνουν info-stealers και trojans απομακρυσμένης πρόσβασης όπως τα Lumma Stealer, AsyncRAT και Remcos, όλα με εκτεταμένες δυνατότητες κλοπής δεδομένων.
Δείτε επίσης: ConnectWise: Κρατικοί hackers πίσω από την κυβερνοεπίθεση;
Ένα βασικό στοιχείο που προκύπτει από τα παραπάνω είναι το πώς οι χάκερ εκμεταλλεύονται την εμπιστοσύνη που υπάρχει σε κοινότητες ανάπτυξης λογισμικού όπως το GitHub, για να διανείμουν κακόβουλο λογισμικό με ύπουλο τρόπο. Αυτό που είναι ιδιαίτερα ανησυχητικό είναι η χρήση δημοφιλών εργαλείων και γλωσσών προγραμματισμού (όπως PowerShell, VBS, JavaScript και Electron), που συνήθως δεν προκαλούν υποψίες, καθώς και η ενσωμάτωση κακόβουλου κώδικα σε scripts ή σε φαινομενικά αθώα έργα ανοιχτού κώδικα. Έτσι, στοχεύουν ειδικά κοινότητες που είναι πιο πιθανό να δοκιμάσουν ή να τροποποιήσουν τέτοιον κώδικα — όπως προγραμματιστές, gamers, ή ερευνητές ασφάλειας.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz