محققان امنیت سایبری تهدیدکننده‌ای ناشناخته به نام Water Curse را شناسایی کرده‌اند که از مخازن GitHub سلاح‌شده برای توزیع بدافزار چندمرحله‌ای استفاده می‌کند. این گروه مخازنی ایجاد کرده که ظاهراً ابزارهای تست نفوذ بی‌ضرر ارائه می‌دهند، اما در فایل‌های پیکربندی پروژه Visual Studio حاوی بارهای مخرب مانند SMTP email bomber و Sakura-RAT هستند. بدافزار قابلیت سرقت داده (شامل اعتبارنامه‌ها، داده‌های مرورگر و توکن‌های جلسه)، دسترسی از راه دور و ماندگاری طولانی‌مدت در سیستم‌های آلوده را فراهم می‌کند.

این کمپین که از ماه گذشته شناسایی شده، از زنجیره‌های عفونت پیچیده چندمرحله‌ای با اسکریپت‌های مبهم‌شده VBS و PowerShell استفاده می‌کند و تکنیک‌های ضد اشکال‌زدایی، افزایش سطح دسترسی و مکانیزم‌های ماندگاری را به کار می‌گیرد. Water Curse که انگیزه مالی دارد، بر سرقت اعتبارنامه، ربودن جلسه و فروش دسترسی غیرقانونی متمرکز است و تا ۷۶ حساب GitHub با این کمپین مرتبط شده‌اند. همچنین کمپین‌های دیگری مشاهده شده که از استراتژی ClickFix برای توزیع بدافزارهای مختلف مانند AsyncRAT، DeerStealer و SectopRAT استفاده می‌کنند و سازمان‌های اروپایی را با طعمه‌های فیشینگ فاکتور هدف قرار می‌دهند.