Фирма по безопасности цепочек поставок Socket опубликовала результаты исследования, описывающие Go-модуль, который маскировался под сканер DNS и поддоменов, но на деле выступал загрузчиком вредоносного ПО для Windows первой стадии. Затем фирма отследила его до сети из 222 репозиториев GitHub, принадлежащих 190 аккаунтам. Модуль опубликовал свою первую версию 24 января этого года и с тех пор накопил более 1200 версий, свыше 700 из которых вредоносны. Socket отслеживает эту кампанию под названием «Operation Muck and Load» и сообщила о модуле команде безопасности Go, которая заблокировала его в прокси-сервере модулей Go.
Go присваивает псевдоверсию на основе временной метки коммита и хеша для любого коммита, у которого отсутствует тег семантической версии. Socket объясняет разрастание собственным рабочим процессом GitHub Actions злоумышленника, утверждая, что его запланированные коммиты могли каждый разрешаться как версия, раздувая историю релизов утилиты-сканера до сотен.
Во всех подтвержденных репозиториях Socket обнаружил один и тот же рабочий процесс: он устанавливает Git-email как ischhfd83@rambler.ru, устанавливает видимое имя пользователя коммита как текущего владельца репозитория, а затем каждую минуту принудительно отправляет перезаписанный файл журнала. Такое разделение генерировало активность, приписываемую владельцам одноразовых аккаунтов, оставляя при этом один повторно используемый отпечаток. Socket засчитывал репозиторий только тогда, когда email и рабочий процесс появлялись вместе, что дало 222 репозитория как подтвержденный минимум.
Файл main.go модуля запускает скрытую команду PowerShell, которая загружает контент с muckcoding.com, декодирует его с помощью certutil и запускает результат с обходом политики выполнения. Socket описывает декодированный скрипт как многоуровневый загрузчик, использующий кодировку Base64 и дешифрование XOR, с комментарием на турецком языке в одном из слоев, который переводится как «запускать напрямую, никаких других шагов не требуется».
Вместо жесткого кодирования URL полезной нагрузки резолвер извлекает текст с публичных платформ, ищет в нем строку-маркер «LastW», затем дешифрует последующий блок с помощью жестко закодированного ключа, чтобы восстановить фактическое местоположение загрузки. Основные тайники включают Pastebin и сервис для вставок под названием Rlim, с резервными вариантами через YouTube, Instagram* , Telegram, Google Docs и GitCode. Если защитники удаляют одну вставку или блокируют конечный URL архива, злоумышленник может обновить содержимое резолвера, не затрагивая загрузчик первой стадии.
Разрешенный URL указывает на защищенный паролем архив 7-Zip, размещенный как ресурс релиза GitHub. Загрузчик извлекает его в каталог, названный так, чтобы напоминать легальную установку Microsoft Photos, и запускает Microsoft.exe из этого пути со скрытым окном. Декодированные стадии полезной нагрузки соответствуют детектам RAT AsyncRAT, Quasar и Remcos, а также поведению инфостилера.
Socket подтвердил как минимум 14 уникальных файлов вредоносного ПО в проанализированном наборе, включая троянские загрузчики и дропперы, инфостилер Vidar, дропперы и шпионские полезные нагрузки, а также майнеры Monero, связанные с XMRig. Один Loader.exe оказался побайтово идентичным в четырех разных репозиториях.
Темы приманок охватывают интеграции Meta*Mask и Trust Wallet, утилиты для сид-фраз, автоматизацию Binance и PayPal, ботов Telegram и Discord, а также игровые читы для PUBG, Valorant и Escape from Tarkov. Один репозиторий PUBG, nrevv1lad/Pubg-DESYNC-Menu, представлял себя как внешний чит с руководством по установке, одновременно размещая Loader.exe, связанный с Vidar, в своем дереве исходников.
Socket с высокой степенью уверенности полагает, что Operation Muck and Load принадлежит тому же кластеру, который Sophos задокументировала в июне прошлого года. Исследователи Sophos Мэтт Уикси и Эндрю О’Доннелл отследили 141 репозиторий GitHub, 133 из которых были с бэкдором, до того же адреса ischhfd83@rambler.ru. Sophos также идентифицировала «Muck» как один из псевдонимов злоумышленника, метку, теперь встроенную в домены muckcoding.com и muckdeveloper.com.
Ни GitHub, ни команда Go не дали комментариев, кроме блокировки прокси.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Luke James




