GitHub, hacker’ların, oyuncuların ve araştırmacıların cihazlarına uzaktan erişim sağlamak için gizli arka kapılar içeren kaynak kodlarını barındıran bir platform haline geldi. Sophos araştırmacıları tarafından ortaya çıkarılan bu kampanya, “ischhfd83” adlı yayıncıyla ilişkilendirilen 141 GitHub deposundan 133’ünde gizli arka kapılar bulunduğunu gösteriyor. Bu durum, kötü amaçlı yazılım dağıtımına yönelik koordineli bir çabayı ortaya koyuyor.
Bu konuyu araştırmaya başlayan Sophos araştırmacıları, GitHub’da serbestçe bulunan Sakura RAT adlı bir uzaktan erişim trojanının tehlikesini değerlendirmek için bir müşterinin başvurusu üzerine incelemelere başladı. Araştırma sonucunda, Sakura RAT kodunun işlevsiz olduğu ancak Visual Studio projesinde, kodu derlemeye çalışanların cihazlarına kötü amaçlı yazılım indirip yükleyen bir PreBuildEvent içerdiği tespit edildi.
Keşfedilen arka kapılar arasında gizlenmiş yüklere sahip Python komut dosyaları, Unicode hileleri kullanan kötü amaçlı ekran koruyucu (.scr) dosyaları, kodlanmış yüklere sahip JavaScript dosyaları ve Visual Studio PreBuild olayları bulunuyor. Bazı depolar 2023’ün sonlarından beri terk edilmiş gibi görünse de, birçoğu düzenli taahhütlerle aktif durumda.
Bu depolara trafik YouTube videolarından, Discord’dan ve siber suç forumlarındaki gönderilerden geliyor. Sakura RAT’ın kendisi de medyanın ilgisini çekmiş ve GitHub’da onu arayan meraklı “script kiddies” arasında ilgi uyandırmıştır. Ancak, kurbanlar dosyaları indirdiğinde, kodu çalıştırmak veya derlemek çok adımlı bir enfeksiyon aşamasını tetikler. Bu süreç, diskte VBS komut dosyalarının yürütülmesini, PowerShell’in sabit kodlu URL’lerden kodlanmış bir yük indirmesini, GitHub’dan 7zip arşivini getirmesini ve bir Electron uygulamasının (SearchFilter.exe) çalıştırılmasını içerir.
Uygulama, sistem profil oluşturma, komut yürütme, Windows Defender’ı devre dışı bırakma ve yük alma için ağır şekilde gizlenmiş ‘main.js’ ve ilgili dosyaları içeren birleştirilmiş bir arşiv yükler. Arka kapı tarafından indirilen ek yükler arasında Lumma Stealer, AsyncRAT ve Remcos gibi bilgi çalan ve uzaktan erişim trojanları bulunur, bunların hepsi kapsamlı veri hırsızlığı yeteneklerine sahip.
