洗練されたキャンペーンは、GitHubリポジトリを通じて配布されるバックドアソースコードを持つハッカー、ゲーマー、および研究者を対象としています。しばしばエクスプロイト、ボット、またはゲームのチートとして宣伝されているプロジェクト内に隠されている悪意のあるコードは、感染したデバイスへのリモートアクセスを攻撃者に付与します。
この手術は、GitHubで利用可能なリモートアクセストロイの木馬である「Sakura Rat」を調査しながら、Sophosの研究者によって明らかにされました。彼らの分析により、桜ラットのコード自体がほとんど機能していないことが明らかになりました。ただし、Visual Studioプロジェクトには、ユーザーがコードをコンパイルしようとしたときにマルウェアをダウンロードしてインストールするように設計された悪意のあるPre Buildeventが含まれていました。
さらなる調査により、出版社「Ischhfd83」を141 Githubリポジトリのネットワークにリンクしました。これらのうち、133は隠された背景が含まれていることがわかり、マルウェアを配布するための協調的な努力を示しています。
バックドアを埋め込むために使用される方法は、難読化されたペイロードを備えたPythonスクリプト、悪意のあるスクリーンセーバー(.SCR)ファイル、Unicodeトリック、エンコードされたペイロードを含むJavaScriptファイル、悪意のあるVisual Studio Pre Buildイベントなど、バックドアに使用される方法が異なります。一部のリポジトリは2023年後半に放棄されましたが、多くは正当性と活動の誤った感覚を生み出すように設計された自動化されたコミットで活動し続けています。これらの自動化されたワークフローは、異常に高いコミットカウントをもたらします。 2025年3月に作成された1つのプロジェクトには60,000人近くのコミットがあり、Sophosの最初のデータ収集の時点で、すべてのリポジトリの平均が4,446に立っていました。
各リポジトリには、3人の貢献者が一貫して取り上げられていました。さまざまなパブリッシャーアカウントも採用され、9つ以上のリポジトリを管理する単一のアカウントはありませんでした。これらの悪意のあるリポジトリへのトラフィックは、YouTube、Discord、およびCybercrimeフォーラムでのプロモーションによって推進されます。特に、さくらラットを取り巻くメディアの注目は、疑いを持たないユーザーをGitHubで検索するように描いたと考えられています。
被害者がこれらのファイルをダウンロードすると、コードを実行または構築するだけでマルチステージ感染プロセスがトリガーされます。このプロセスには、VBSスクリプトの実行が含まれ、その後、ハードコードされたURLからエンコードされたペイロードをダウンロードするPowerShellが含まれます。これにより、GitHubからの7zipアーカイブのフェッチと「searchfilter.exe」という名前の電子アプリの実行につながります。この電子アプリには、大量に難読化された「main.js」および関連ファイルを備えたバンドルされたアーカイブが含まれています。これらのファイルには、システムプロファイリングのコード、コマンド実行、Windowsのディフェンダーの無効化、追加のペイロードの取得が含まれます。
バックドアによってダウンロードされたセカンダリペイロードには、有名な情報スティーラーと、Lumma Stealer、Asyncrat、Remcosなどのリモートアクセストロイの木馬には、すべて大規模なデータ盗難機能が装備されています。
Trojanizedリポジトリの一部は他のハッカーをターゲットにしていますが、ゲームチート、MODツール、偽のエクスプロイトなど、幅広いルアーも使用されます。
誰でもソースコードをGitHubにアップロードできることを考えると、ユーザーは、オープンソースリポジトリからダウンロードされたソフトウェアをコンパイルする前に、ソースコードを慎重に調べ、プロジェクト内のビルド前および建物後のイベントを検証することを強くお勧めします。
