GPUGate malware zneužívá Google Ads a GitHub commity k útokům na IT firmy

Bezpečnostní společnosti upozorňují na novou sofistikovanou kampaň s názvem GPUGate, která kombinuje placené reklamy ve vyhledávačích s falešnými commity na GitHubu. Cílem útoků jsou zejména IT a softwarové vývojářské firmy v západní Evropě. Podle analýzy společnosti Arctic Wolf jde o formu malvertisingu, která dokáže obejít běžné detekční mechanismy.

Kampaň byla poprvé zaznamenána v srpnu 2025. Uživatelé hledající legitimní nástroje, například GitHub Desktop, jsou přesměrováni na stránky napodobující GitHub, například doménu gitpage[.]app. První fáze malwaru je 128MB instalační balíček MSI, jehož velikost pomáhá vyhnout se online sandboxům. Unikátní technikou je využití grafické karty (GPU) k dešifrování škodlivého kódu – pokud systém GPU nemá, payload zůstane zašifrovaný a malware se nespustí. Podle odborníků tak útočníci cíleně obcházejí virtuální prostředí a analytické nástroje.

Spustitelný soubor využívá funkce GPU k vygenerování šifrovacího klíče pro dešifrování payloadu a kontroluje název GPU zařízení,“ uvádí Arctic Wolf. Pokud název zařízení nesplňuje podmínky nebo GPU chybí, proces se ukončí. Na reálných systémech ale malware spouští řetězec skriptů ve Visual Basicu a PowerShellu, které přidávají výjimky v Microsoft Defender, vytvářejí naplánované úlohy pro persistenci a nakonec doručují sekundární škodlivé soubory.

Cílem útoku je krádež informací a doručení dalších nástrojů pro vzdálený přístup. Komentáře ve skriptech naznačují ruský původ útočníků. Analýzy také ukazují, že infrastruktura spojená s GPUGate šíří i malware pro macOS, například Atomic macOS Stealer.

Japonská firma GMO Cybersecurity by Ierae označila techniku jako Phantom Commit Injection a potvrdila, že od září 2025 jsou terčem také vývojáři. Podobné závěry přinesla i skupina Unit 42 společnosti Palo Alto Networks, která sleduje zneužívání tzv. dangling commits k vložení škodlivého kódu do legitimně vypadajících repozitářů.

Podle odborníků nová kampaň dokazuje, jak snadno lze využít důvěru v populární platformy, jako jsou Google a GitHub, k distribuci malwaru. Doporučují proto pečlivě ověřovat odkazy a zdroje softwaru i v případech, kdy vypadají důvěryhodně.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS