FakeGit: LuaJIT malware distributed via GitHub at scale

Кампания FakeGit, организованная злоумышленником, говорящим на вьетнамском языке, с марта 2025 года по состоянию на март 2026 года активно распространяет вредоносное ПО на основе LuaJIT через репозитории GitHub. Атака маскируется под взломанные расширения браузеров, игровые читы, утилиты для разработчиков и контент для взрослых — злонамеренные файлы упакованы в ZIP‑архивы и размещаются в обманчивых репозиториях.

Краткая сводка фактов

• Обнаружено более 600 уникальных злонамеренных ZIP‑архивов, размещённых в более чем 47 аккаунтах GitHub.
• Кампания демонстрирует несколько поколений эволюции механизмов доставки и обфускации и остаётся активной по состоянию на март 2026 года.
• Загрузчик получает конфигурацию C2 через вызов функции контракта Binance Smart Chain, что позволяет динамически обновлять данные без изменения развернутого двоичного кода.
• Финальная полезная нагрузка — известная как StealC — действует как крадитель информации (info‑stealer).

Механизм доставки и тактика удержания доступа

Загрузчик вредоносного ПО реализует нетипичный канал связи с командным сервером: он извлекает данные с сервера управления через функцию смарт‑контракта Binance Smart Chain. Такая архитектура позволяет злоумышленникам менять C2‑адреса и параметры без необходимости перекомпиляции или повторной загрузки бинарников, что повышает устойчивость кампании и затрудняет исследования.

«Динамическое обновление C2 через смарт‑контракт обеспечивает постоянное взаимодействие с инфраструктурой при сохранении операционной анонимности», — следует из отчёта.

Техническая реализация вредоносной цепочки

При выполнении вредоносное ПО проходит многоступенчатый процесс декодирования и распаковки, включающий следующие слои:

• hex‑кодирование;
• XOR;
• base64url;
• AES‑ECB.

После расшифровки и распаковки загружается StealC, реализующий набор функций по сбору конфиденциальной информации.

Среди используемых техник исполнения и маскировки выявлены:

• инъекция в процессы и загрузка DLL с применением стандартных структур и API Windows — в частности IMAGE_NT_HEADERS и VirtualAlloc;
• имитация легитимного поведения во время выполнения для снижения шансов обнаружения;
• обфускация полезной нагрузки несколькими уровнями кодирования.

Цели и методы эксфильтрации данных

StealC специально нацелен на извлечение конфиденциальных данных из популярных браузеров (Chrome, Brave, Edge) — включая хранилища учётных данных, cookies и системные настройки. Экстракция данных сопровождается отправкой собранной информации через JSON POST на назначенные PHP‑эндпойнты.

Инфраструктура и устойчивость операций

• Инфраструктура кампании использует сочетание специализированных и скомпрометированных аккаунтов GitHub; многие аккаунты выглядят легитимно, но содержат единственный вредоносный репозиторий.
• Для размещения C2 применяются услуги bulletproof hosting; значительная часть связанных IP‑адресов принадлежит одному ASN, что усложняет меры по блокировке и ликвидации инфраструктуры.
• Атрибуцию кампании поддерживают автоматизационные скрипты на Node.js, написанные на вьетнамском языке, что указывает на централизованную координацию.

Эволюция кампании и соответствие MITRE ATT&CK

Анализ показывает адаптивный характер кампании: с течением времени наблюдается снижение сигнатурной детектируемости вредоносного ПО при одновременном существенном увеличении объёма распространения. Это отражает переход к более изощрённым операционным подходам.

Тактики и техники, использованные в FakeGit, коррелируют с несколькими методами из фреймворка MITRE ATT&CK, в частности в областях:

• Phishing и Social Engineering (обманные репозитории как вектор доверия);
• User Execution (выполнение пользователем скачанных архивов/скриптов);
• Obfuscation and Evasion (множественные уровни кодирования и динамическое обновление C2 через смарт‑контракты).

Последствия для пользователей и организаций

FakeGit представляет значительную угрозу как для индивидуальных пользователей, так и для организаций, особенно учитывая направленность на браузерные креденшалы и cookies, которые могут дать доступ к корпоративным ресурсам и сервисам. Компрометация таких данных повышает риск дальнейших атак — от несанкционированного доступа до мошенничества и утечек конфиденциальной информации.

Рекомендации по защите

• Повышать осведомлённость пользователей о рисках загрузки расширений и контента из внешних репозиториев, даже если они размещены на GitHub.
• Ограничить исполнение скачиваемых скриптов и бинарников на рабочих станциях через политику Application Control (например, allow‑lists).
• Мониторить и блокировать подозрительные ZIP‑файлы и репозитории, автоматизировать проверку содержимого скачиваемых архивов.
• Внедрять многослойную защиту браузеров: использование менеджеров паролей, MFA, изоляция сессий и контроль расширений.
• Отслеживать сетевую активность на предмет обращений к подозрительным C2, а также сканировать на присутствие признаков инъекции процессов и загрузки DLL с использованием IMAGE_NT_HEADERS/VirtualAlloc.
• Сообщать о подозрительных аккаунтах и репозиториях в GitHub и сотрудничать с провайдерами хостинга по блокировке инфраструктуры bulletproof hosting.

Кампания FakeGit демонстрирует, как злоумышленники используют легитимные платформы и современные разработки (смарт‑контракты, динамические каналы связи), чтобы повысить живучесть и масштаб вредоносной активности. Комплексный подход к защите, включающий технологические меры, осведомлённость пользователей и сотрудничество с платформами, необходим для уменьшения риска дальнейшего распространения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.