정교한 캠페인은 GitHub 리포지토리를 통해 배포 된 백도어 소스 코드를 가진 해커, 게이머 및 연구원을 대상으로합니다. 악용, 봇 또는 게임 치트로 종종 광고되는 프로젝트에 숨겨진 악의적 인 코드는 공격자에게 감염된 장치에 대한 원격 액세스를 제공합니다.
이 작업은 Sophos의 연구원들에 의해 밝혀졌으며 Github에서 이용할 수있는 원격 액세스 인“Sakura Rat”을 조사했습니다. 그들의 분석에 따르면 사쿠라 쥐 코드 자체는 대부분 비 기능적이라는 것이 밝혀졌습니다. 그러나 Visual Studio 프로젝트에는 사용자가 코드를 컴파일하려고 할 때 맬웨어를 다운로드하고 설치하도록 설계된 악의적 인 사전 빌드 벤트가 포함되어 있습니다.
추가 조사는 출판사“ISCHHFD83”을 141 개의 GitHub 리포지토리 네트워크와 연결했습니다. 이 중 133 명은 숨겨진 백도어를 포함하는 것으로 밝혀졌으며, 이는 맬웨어를 배포하려는 조정 된 노력을 나타냅니다.
백도어를 포함시키는 데 사용되는 방법은 난독 화 된 페이로드가있는 파이썬 스크립트, 유니 코드 트릭을 사용하는 악의적 인 스크린 세이버 (.SCR) 파일, 인코딩 된 페이로드가 포함 된 JavaScript 파일 및 악의적 인 비주얼 스튜디오 프리 빌드 이벤트를 포함하여 다양합니다. 일부 리포지토리는 2023 년 후반에 버려졌지만, 많은 사람들이 합법성과 활동에 대한 잘못된 감각을 만들기 위해 고안된 자동 커밋으로 활발하게 활동하고 있습니다. 이러한 자동화 된 워크 플로우는 비정상적으로 높은 커밋 수를 초래합니다. 2025 년 3 월에 제작 된 한 프로젝트는 거의 60,000 개의 커밋을 받았으며, 모든 저장소의 평균은 Sophos의 초기 데이터 수집 당시 4,446에 서 있습니다.
각 저장소에는 지속적으로 3 명의 기고자가있었습니다. 9 개 이상의 리포지토리를 관리하는 단일 계정이없는 다른 게시자 계정도 사용되었습니다. 이러한 악성 리포지토리로의 트래픽은 YouTube, Discord 및 CyberCrime 포럼에서의 프로모션으로 인해 발생합니다. 특히 사쿠라 쥐를 둘러싼 언론의 관심은 의심의 여지가없는 사용자가 Github에서 검색 할 수있는 것으로 여겨집니다.
피해자 가이 파일을 다운로드하면 단순히 코드를 실행하거나 구축하면 다단계 감염 과정이 트리거됩니다. 이 프로세스에는 VBS 스크립트 실행이 포함되며 PowerShell은 하드 코딩 된 URL에서 인코딩 된 페이로드를 다운로드하는 것이 포함됩니다. 이로 인해 Github의 7ZIP 아카이브가 가져오고 ‘searchFilter.exe’라는 전자 앱의 실행이 발생합니다. 이 전자 앱에는 심하게 난독 화 된 ‘main.js’및 관련 파일이있는 번들 아카이브가 포함되어 있습니다. 이 파일에는 시스템 프로파일 링, 명령 실행, Windows Defender 비활성화 및 추가 페이로드 검색을위한 코드가 포함됩니다.
백도어에서 다운로드 한 보조 페이로드에는 잘 알려진 정보 스틸러와 Lumma Stealer, Asyncrat 및 REMCO와 같은 원격 액세스 트로이 목마가 모두 광범위한 데이터 도난 기능을 갖추고 있습니다.
트로이 화 된 저장소의 일부는 다른 해커를 대상으로하지만 게임 치트, 모드 도구 및 가짜 익스플로잇을 포함한 광범위한 미끼가 게이머, 학생 및 사이버 보안 연구원들에게도 사용됩니다.
누구나 소스 코드를 GITHUB에 업로드 할 수 있으므로 사용자는 소스 코드를 신중하게 검토하고 오픈 소스 리포지토리에서 다운로드 한 소프트웨어를 컴파일하기 전에 프로젝트 내에서 사전 및 사후 이벤트를 확인하는 것이 좋습니다.
