GitHub-сеть Operation Muck and Load развертывала вредоносный Go-модуль

Operation Muck and Load: как вредоносный Go-модуль выстроил сеть из 222 репозиториев на GitHub

Расследование вредоносного Go-модуля, размещённого по адресу github.com/kaleidora/dnsub-scanning-tool, раскрыло сложную кампанию по распространению вредоносного программного обеспечения (ВПО), получившую название Operation Muck and Load. За маской инструмента для сканирования DNS/поддоменов скрывалась многоступенчатая система атак, нацеленная на Windows-среды. Аналитики выявили, что операция включала:

  • скрытое выполнение команд PowerShell;
  • использование публичных dead-drop для повышения устойчивости;
  • доставку троянов удалённого доступа (RAT) и инфостилеров.

Вредоносный Go-модуль: многослойная оболочка

Ключевым элементом атаки стал скомпрометированный Go-модуль. Внешне он выглядел как легитимная утилита для пентеста, однако содержал вредоносный код. Злоумышленники активно манипулировали версионированием: всего было обнаружено более 1200 итераций модуля, из которых 700 подтверждены как вредоносные. Такой подход позволял скрывать активную эксплуатацию среди множества «шумных» обновлений.

При запуске модуль незаметно для пользователя активировал скрытую команду PowerShell. Эта команда инициировала загрузку дополнительных вредоносных скриптов с внешнего сайта. Скрипты в свою очередь извлекали и расшифровывали основную полезную нагрузку. Таким образом, модуль выполнял роль загрузчика, который не только доставлял ВПО, но и собирал метаданные, а также взаимодействовал с сетью публичных dead-drop, что усложняло блокировку вредоносной цепочки.

Инфраструктура маскировки: 222 репозитория и 190 аккаунтов

Операция Muck and Load не ограничивалась одним модулем. Расследование вскрыло целую экосистему обмана на GitHub. В общей сложности было задействовано 222 репозитория в 190 учётных записях. Все они служили одной цели — создать иллюзию активной, поддерживаемой разработки и привлечь потенциальных жертв среди разработчиков и исследователей безопасности.

Автоматизация коммитов в этих репозиториях создавала фасад постоянной поддержки и надёжности. Многие проекты были заполнены контентом, который выглядел аутентично, злоупотребляя доверием пользователей к платформе. Более того, эти репозитории не только заманивали, но и напрямую распространяли вредоносное ПО, среди которого обнаружены:

  • загрузчики троянов;
  • шпионское программное обеспечение;
  • криптомайнеры Monero.

Полезная нагрузка: от стиллеров до AsyncRAT и Quasar

После того как PowerShell-загрузчик завершал свою работу, на атакованную систему доставлялось финальное ВПО. Декодированный загрузчик взаимодействовал с полезными нагрузками, которые демонстрировали характерные признаки стиллеров (похитителей данных) и троянов удалённого доступа. В частности, в рамках кампании были замечены образцы, связанные с AsyncRAT и Quasar, а также другими шаблонами вредоносной активности. Это указывает на комплексный пост-эксплуатационный цикл, включающий механизмы обхода защитных решений и закрепления в скомпрометированной среде.

Постоянная угроза и необходимость бдительности

Благодаря оперативным действиям команд безопасности основная вредоносная активность, исходившая от модуля dnsub-scanning-tool, была остановлена. Однако эксперты предупреждают: тактика, инфраструктура и обширная сеть репозиториев, созданная злоумышленниками, представляют собой долгосрочный риск. Операция тонко использует доверие к платформе GitHub, поддерживая кажущиеся активными аккаунты и проекты, что требует постоянного мониторинга и бдительности от сообщества для предотвращения подобных действий в будущем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: