
این کمپین توسط محققان Sophos کشف شد. یکی از مشتریان با آنها تماس گرفت تا خطر تروجان دسترسی از راه دور به نام Sakura RAT را که به صورت رایگان در GitHub موجود است، ارزیابی کنند. محققان دریافتند که کد Sakura RAT اساساً غیرعملیاتی است اما دارای یک PreBuildEvent در پروژه Visual Studio است که بدافزار را روی دستگاههای کسانی که سعی در کامپایل آن دارند، دانلود و نصب میکند.
ناشر با نام کاربری “ischhfd83” به طور مستقیم یا غیرمستقیم با 141 مخزن GitHub دیگر مرتبط بود که 133 مورد از آنها درهای پشتی مخفی را منتشر میکردند. این نشاندهنده یک کمپین هماهنگ برای توزیع بدافزار است.
درهای پشتی شامل اسکریپتهای Python با محمولههای مبهم، فایلهای اسکرینسیور مخرب (.scr) با استفاده از ترفندهای یونیکد، فایلهای JavaScript با محمولههای رمزگذاری شده و رویدادهای PreBuild در Visual Studio هستند.
برخی از مخازن از اواخر سال 2023 رها شدهاند، اما بسیاری از آنها با کامیتهای منظم فعال هستند. برخی از این کامیتها تنها چند دقیقه قبل از تحلیل Sophos ارسال شده بودند. این کامیتها کاملاً خودکار هستند و هدف اصلی آنها ایجاد تصویری کاذب از فعالیت است که به پروژههای مخرب ظاهری مشروع میبخشد.
Sophos توضیح میدهد: “به دلیل اجرای خودکار گردش کار، بسیاری از پروژهها تعداد زیادی کامیت داشتند. یکی از آنها تقریباً 60000 کامیت داشت، با وجود اینکه فقط در مارس 2025 ایجاد شده بود. در مجموع تمام مخازن، میانگین تعداد کامیتها در زمان جمعآوری اولیه ما 4446 بود.”
تعداد مشارکتکنندگان برای هر مخزن به سه کاربر خاص محدود شده است و حسابهای ناشر مختلفی برای هر کدام استفاده میشود. هیچگاه بیش از نه مخزن به یک حساب واحد اختصاص داده نمیشود.
این مخازن از طریق ویدیوهای YouTube، Discord و پستها در انجمنهای جرایم سایبری ترافیک دریافت میکنند. خود Sakura RAT توجه رسانهای را جلب کرد که باعث علاقهمندی “اسکریپت کیدیهای” کنجکاو شد که به دنبال آن در GitHub گشتند.
هنگامی که قربانیان فایلها را دانلود میکنند، اجرا یا ساخت کد باعث شروع مرحله آلودگی چندمرحلهای میشود. این فرآیند شامل اجرای اسکریپتهای VBS روی دیسک، دانلود محموله رمزگذاری شده توسط PowerShell از URLهای کدگذاری شده، دریافت آرشیو 7zip از GitHub و اجرای یک برنامه Electron (SearchFilter.exe) است.
این برنامه یک آرشیو همراه حاوی فایل ‘main.js’ بسیار مبهم و فایلهای مرتبط را بارگذاری میکند که شامل کد برای پروفایل سیستم، اجرای دستورات، غیرفعال کردن Windows Defender و بازیابی محموله است.
محمولههای اضافی که توسط درب پشتی دانلود میشوند شامل سارقان اطلاعات و تروجانهای دسترسی از راه دور مانند Lumma Stealer، AsyncRAT و Remcos هستند که همگی دارای قابلیتهای گسترده سرقت داده هستند.
اگرچه بسیاری از مخازن تروجانی برای هدف قرار دادن هکرهای دیگر ایجاد شدهاند، اما از طعمههای متنوعی مانند چیتهای بازی، ابزارهای مود و اکسپلویتهای جعلی برای هدف قرار دادن گیمرها، دانشجویان و حتی محققان امنیت سایبری استفاده میشود.
از آنجایی که هر کسی میتواند کد منبع را در GitHub آپلود کند، بررسی کد منبع و تأیید رویدادهای قبل و بعد از ساخت هر پروژه قبل از تلاش برای کامپایل نرمافزار دانلود شده از مخازن متنباز بسیار حیاتی است.
کلمات کلیدی : هکرها, GitHub, بدافزار, تروجان دسترسی از راه دور, Sakura RAT, درهای پشتی مخفی
نظر شما چیست؟
خوشحال میشویم نظر شما را بدانیم. نظری بنویسید.