Kyberrikolliset aseistavat nyt itse GitHubia. He luovat väärennettyjä tietovarastoja, jotka lupaavat toimivan konseptikoodin korkean profiilin tietoturvapuutteisiin. Sen sijaan he tarjoavat ilkeän takaoven nimeltä WebRAT.
Tämä ei ole WebRATin ensimmäinen rodeo. Haittaohjelma ilmestyi ensimmäisen kerran vuoden alussa ja on levinnyt piraattityökalujen sekä pelihuijausten kautta Counter Strikelle, Robloxille ja jopa Rustille. Mutta operaattorit vain tasoittivat peliään. He kohdistavat nyt paljon teknisempään yleisöön taitavasti naamioidulla jakelumenetelmällä.
Hyökkäysmetsästäjien hyväksikäyttö
Ainakin syyskuusta lähtien uhkatoimijat ovat luoneet hiottuja GitHub-arkistoja. Nämä repot tarjoavat toimivia hyväksikäyttöjä useisiin otsikoihin nousseisiin haavoittuvuuksiin. Kaspersky-tietoturvatutkijat löysivät 15 tietovarastoa, jotka työntävät WebRATia tällä tavalla.
Joukko väärennettyjä hyväksikäyttöjä korosti useita merkittäviä tietoturva-aukkoja. Ensimmäinen oli CVE-2025-59295, joka väittää olevansa kasaan perustuva puskurin ylivuoto MSHTML:ssä ja Internet Explorerissa Windows-käyttöjärjestelmissä; "hyödynnyksen" näennäinen lopputulos on, että lähettämällä erityisesti muotoiltuja verkkopaketteja hyökkääjä voi suorittaa mielivaltaisen koodin kohteena olevassa isännässä etänä.
Toinen oli CVE-2025-10294, jota mainostettiin kriittisenä todennuksen ohituksena, joka vaikuttaa WordPressiin ilman salasanapohjaisia kirjautumisia. Väitetään, että se voi antaa hyökkääjälle mahdollisuuden kirjautua sisään minkä tahansa käyttäjänä, mukaan lukien järjestelmänvalvojat, ilman todennusta.
Lopuksi kolmas väärennösmainos oli CVE-2025-59230 – Microsoftin Remote Access Connection Managerin (RACM) seuraavan tason käyttöoikeushaavoittuvuus. RACM:n ilmeinen heikkous antaisi paikallisille hyökkääjille mahdollisuuden lisätä oikeuksiaan JÄRJESTELMÄtason käyttöoikeuksiin.
Jokainen arkisto näytti lailliselta. He antoivat yksityiskohtaista tietoa haavoittuvuudesta, selittivät, mitä väitetty hyväksikäyttö tekee, ja jopa listasivat saatavilla olevia lievennyksiä. Kasperskyn tutkijat uskovat, että kaikki tämä teksti on luotu tekoälymalleja käyttäen. Rakenne ja esitys olivat riittävän ammattimaisia huijatakseen kokeneita kehittäjiä.
Mitä WebRAT todella tekee
Solarin mukaan4RAYS raporttitoukokuusta lähtien WebRAT on takaovi, jossa on laajat tiedonvarasto-ominaisuudet. Se etsii kirjautumistietoja Steam-, Discord- ja Telegram-tileiltä. Mitä muuta! Se kohdistaa dataan lompakoista, joissa on virtuaalista omaisuutta, mikä on erittäin arvokasta huonoille toimijoille.
Haittaohjelma ei kuitenkaan kaappaa vain tallennettuja tietoja. Se etsii uhreja verkkokameroiden kautta ja jopa ottaa kuvakaappauksia heidän tekemissään.
Väärennetyt hyväksikäytöt saapuvat salasanasuojattuina ZIP-tiedostoina. Sisältä uhrit löytävät tyhjän tiedoston, jonka tiedostonimenä on salasana, vioittuneen houkutus-DLL:n, suoritusketjun erätiedoston ja rasmanesc.exe-nimisen pääpudotusohjelman.
Kun tiputin on suoritettu, se alkaa toimia välittömästi. Se lisää järjestelmän oikeuksia ja poistaa Windows Defenderin käytöstä havaitsemisen välttämiseksi. Puolustaminen haittaohjelmia vastaan, jotka pyrkivät aktiivisesti poistamaan tietoturvan käytöstä, vaatii vahvan, joustavan tietoturvaratkaisun. Sitten se lataa ja suorittaa koko WebRAT-hyötykuorman kovakoodatusta URL-osoitteesta.
WebRATilla on useita pysyvyystaktiikoita varmistaakseen, että se voittaa järjestelmän uudelleenkäynnistykset. Se muuttaa Windowsin rekisterimerkintöjä, käyttää Task Scheduleria ja sijoittaa itsensä satunnaisiin järjestelmähakemistoihin. Nämä tekevät poistamisen vaikeaksi tartunnan saaneille.
Kasperskytoteaa, että tämän kampanjan WebRATvariantti vastaa aiemmin dokumentoituja näytteitä. "Toimintakyvyt pysyvät aiempien raporttien mukaisina", tutkijat selittivät. Haittaohjelma ylläpitää samat tunnistetietojen varastaminen, verkkokameravakoilu ja kuvakaappaustoiminnot.
Väärennettyjen hyväksikäyttöjen käyttäminen GitHubissa haittaohjelmien levittämiseen ei ole aivan uutta. Turvallisuustutkijat ovat dokumentoineet tämän taktiikan laajasti aiemmin. Äskettäin uhkatoimijat mainostivat GitHubissa väärennettyä "LDAPNightmare"-hyödyntämistä tietovarastajien haittaohjelmien levittämiseksi vastaavilla menetelmillä.
Tämä tapaus on osa laajempaa hyökkääjien mallia, jotka aseistavat GitHubin ekosysteemiä, kuten havaittiin erillisessä kampanjassa, jossa hakkerit murtautuivat useisiin organisaatioihinvaarantaa lailliset OAuth-sovelluksetalustalla.
Kaspersky tunnisti haitalliset tietovarastot GitHubissa ja laati niistä luettelon; On kuitenkin odotettavissa, että haitalliset toimijat yrittävät edelleen houkutella käyttäjiä lataamaan haittaohjelmiaan luomalla ja lähettämällä uusia tietovarastoja eri julkaisijoiden nimillä. Käytännössä ilman pääsyn esteitä pahantahtoisten toimijoiden on helppo lähettää uusia tietovarastoja, jotka näyttävät oikeutetuilta hyväuskoisten käyttäjien silmissä.
Parhaan käytännön mukaan Kaspersky suosittelee, että testattaessa koodia tai hyväksikäyttöä mahdollisesti epäluotettavista lähteistä, kehittäjät ja tietoturva-ammattilaiset käyttävät niitä valvotussa ympäristössä ja varmistavat, että he pystyvät hallitsemaan ympäristöä, jossa hyväksikäyttökoodi toimii.