duty-free.cc

Сеть из 200 репозиториев GitHub используется для заражения вредоносным ПО

Сеть из 200 репозиториев GitHub используется для заражения вредоносным ПО

Злоумышленник создал сеть более чем из 200 репозиториев GitHub, через которые распространяется вредоносное ПО для Windows, сообщает компания Socket, специализирующаяся на защите цепочки поставок.

Operation Muck and Load

Кампания, получившая название Operation Muck and Load, включает 222 репозитория-приманки в рамках 190 аккаунтов. Все они содержат Go-модуль, запускающий цепочку заражения.

Модуль загружает PowerShell-код, который обращается к публичным dead drop-ресурсам и в конечном итоге исполняет вредоносное ПО для Windows — шпионское ПО, троянские загрузчики, инфостилеры и криптомайнеры.

Для маскировки Go-модуль выдаёт себя за инструмент DNS/subdomain-сканирования на основе легитимного проекта dnsub. С 24 января 2026 года злоумышленник опубликовал более 1 200 версий пакета, из которых 700 являются вредоносными.

Как работает цепочка заражения?

Модуль содержит PowerShell-команду, скрытую с помощью избыточных пробелов и выполняемую ещё до любой логики сканирования. Она запускает скрипт в обход политик выполнения, который затем:

  • Обращается к публичным dead drop-ресурсам за зашифрованными метаданными нагрузки
  • Расшифровывает URL, загружает защищённый паролем архив
  • Извлекает и запускает содержимое архива

Для повышения устойчивости злоумышленник использует множество публичных платформ для хранения зеркальных копий зашифрованного резолвера: Pastebin, Rlim, YouTube, Instagram, Telegram, Google Docs и GitCode.

Какие вредоносы доставляются?

  • AsyncRAT, Quasar RAT — трояны удалённого доступа
  • Remcos-style RAT
  • Vidar infostealer — похититель данных
  • XMRig / BitMiner — майнеры Monero
  • Дропперы и шпионское ПО

Исследователи Socket выявили как минимум 14 уникальных подтверждённых вредоносных файлов в анализируемых репозиториях. Часть репозиториев распространяла вредоносное ПО непосредственно — встроенное в исходные деревья или через release assets на GitHub.

Атрибуция

Operation Muck and Load пересекается с ранее наблюдавшейся активностью, связанной с адресом электронной почты ischhfd83, а также с доменами в стиле Muck. Кампания продолжается и в настоящее время.