黑客通过GitHub项目的后门代码攻击其它黑客和游戏玩家

该攻击由 Sophos 公司的研究员发现，当时该公司客户要求评估可在 GitHub 免费使用的远程访问木马 Sakura RAT的危险性。研究人员发现，Sakura RAT 代码基本无法起作用，但它在 Visual Studio 项目中通过PreBuildEvent 下载并在尝试编译的设备上安装恶意软件。

项目发布者 “ischhfd83” 被指直接或间接与另外141个GitHub 仓库之间存在关联，其中133个仓库释放隐藏的后门，这说明这起恶意软件传播活动是协同攻击。后门包括具有混淆payload的Python脚本、使用 Unicode 技术的恶意 screensaver (.scr) 文件、具有编码的 payload 的 JavaScript 文件以及 Visual Studio PreBuild 事件。一些仓库似乎自2023年末起就被遗弃，但很多仓库仍然是活跃的会收到定期提交，一些提交时间甚至就在 Sophos 进行分析的几分钟前。这些提交是完全自动化的，因此它们的唯一目的就是制造一种导致恶意项目看似合法的假象。

Sophos公司的研究人员指出，“由于自动化工作流运行的原因，很多项目拥有大量的提交（一个项目尽管在2025年3月才创建但已拥有近6万条提交）。在我们首次收集时，所有仓库的平均提交数量是4446条。”每个仓库的贡献者数量固定有三名特定用户，每个仓库使用不同的发布者账号，而每个账号获得分配的仓库数量不超过九个。

这些仓库从 YouTube 视频、Discord 和网络犯罪论坛上的帖子处获得流量。Sakura RAT 本身会受到一些媒体关注，吸引好奇的“脚本小子们”到GitHub 查找。然而，当受害者下载文件后，运行或构建代码会触发一个多步骤的感染阶段。这一过程涉及在磁盘执行 VBS 脚本、PowerShell 从硬编码 URL 下载编码的 payload、从GitHub 提取一份 7zip 文档，以及运行一款 Electron app (SearchFilter.exe)。

该app 加载内含被严重混淆的 “main.js”的捆绑文档和相关文件，包括系统配置代码、命令执行、Windows Defender 禁用以及 payload 检索。该后门下载的其它 payload 还包括信息窃取工具和远程访问木马如 Lumma Stealer、AsyncRAT和Remcos，它们均具有广泛的数据盗取能力。

尽管很多木马化的仓库是为了攻击其它黑客，但大量诱饵如游戏作弊、游戏模组工具和虚假利用都用于攻击玩家、学生、甚至是网络安全研究人员。

由于任何人均可将源代码上传至 GitHub，因此在尝试编译下载自开源仓库的软件之前，审计源代码并验证任何项目的预构建和构建后的事件至关重要。