Скачали читы с GitHub? Вас ждёт неприятный сюрприз

Исследователи Trend Micro обнаружили кампанию , где злоумышленники используют поддельные репозитории GitHub для распространения вредоносного ПО. Под видом игровых читов, взломанных программ и утилит они распространяют SmartLoader, который затем загружает Lumma Stealer и другие угрозы.

Преступники используют генеративный ИИ для создания правдоподобных репозиториев с описаниями, похожими на легитимные проекты. ZIP-архивы содержат обфусцированные скрипты на Lua, которые активируют вредоносные программы при распаковке.

Попав на устройство, Lumma Stealer ворует криптовалютные кошельки, 2FA-расширения, учётные данные и личные данные, что может привести к финансовым потерям. Ранее злоумышленники загружали вредоносные файлы в GitHub как вложения, но теперь они создают целые поддельные репозитории, усложняя их обнаружение.

Файлы в заражённых архивах:

— lua51.dll — библиотека интерпретатора LuaJIT;

— luajit.exe — исполняемый файл загрузчика Lua;

— userdata.txt — скрытый вредоносный скрипт;

— Launcher.bat — скрипт для запуска luajit.exe.

После запуска SmartLoader загружает файл «search.exe», который активирует Lumma Stealer. Затем заражённое устройство подключается к C2-серверу «pasteflawwed[.]world», передавая украденные данные.

Киберпреступники используют доверие к GitHub, чтобы распространять вредоносное ПО, а применение ИИ позволяет автоматизировать создание поддельных репозиториев.

Чтобы защититься от новой угрозы исследователи безопасности рекомендуют:

— Загружать ПО только с официальных источников, избегая подозрительных репозиториев.

— Проверять подлинность репозиториев, анализируя историю изменений, активность авторов и структуру документации.

— Использовать антивирусные решения для обнаружения и блокировки угроз.

— Анализировать скачанные файлы перед их запуском.

— Внедрять меры сетевой безопасности, блокируя доступ к известным вредоносным репозиториям.

— Проводить мониторинг активности в сети на предмет подозрительных соединений.

— Ограничивать возможность запуска неавторизованных скриптов и программ.

— Проводить обучение сотрудников, объясняя риски, связанные с социальной инженерией.

Преступники постоянно адаптируются, поэтому только проактивный подход к безопасности поможет минимизировать риски и защитить данные.