Hacker cílí na ostatní hackery, hráče a výzkumníky pomocí exploitů, botů a cheatů do her ve zdrojovém kódu hostovaném na GitHubu, který obsahuje skrytá zadní vrátka umožňující útočníkovi vzdálený přístup k infikovaným zařízením. Tuto kampaň objevili experti ze společnosti Sophos, které kontaktoval klient s žádostí o posouzení nebezpečí trojského koně pro vzdálený přístup s názvem Sakura RAT, který je volně dostupný na GitHubu.

Experti zjistili, že kód Sakura RAT je v podstatě nefunkční, ale obsahuje PreBuildEvent ve Visual Studio projektu, který při pokusu o kompilaci stáhne a nainstaluje malware na zařízení oběti.

Vydavatel s přezdívkou „ischhfd83“ byl přímo či nepřímo propojen s dalšími 141 repozitáři na GitHubu, z nichž 133 šířilo skrytá zadní vrátka, což ukazuje na koordinovanou kampaň za účelem distribuce malwaru.

Výběr zadních vrátek zahrnuje Python skripty s obfuskovanými payloady, škodlivé spořiče obrazovky (.scr) využívající triky s Unicode, JavaScriptové soubory s kódovanými payloady a Visual Studio PreBuild události.

Některé repozitáře byly opuštěny již koncem roku 2023, ale mnoho z nich je stále aktivních s pravidelnými commity, některé byly přidány jen pár minut před analýzou Sophosu.

Tyto commity jsou plně automatizované, jejich jediným účelem je vytvořit falešný dojem aktivity a dodat škodlivým projektům zdání legitimity.

„Díky automatizovaným workflow měly mnohé projekty obrovské množství commitů (jeden měl téměř 60 000, přestože byl vytvořen teprve v březnu 2025),“ vysvětluje Sophos. „Průměrný počet commitů napříč všemi repozitáři byl v době našeho sběru dat 4 446.“

Počet přispěvatelů je u každého repozitáře omezen na tři konkrétní uživatele a pro každý repozitář je použit jiný účet vydavatele, přičemž na jeden účet nikdy nepřipadá více než devět repozitářů.

Zdroj: BleepingComputer

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS