Злоумышленники использовали OpenClaw и игровые читы для распространения трояна на GitHub
Исследователи Netskope Threat Labs выявили более 300 скомпрометированных пакетов на GitHub, распространявшихся под видом инструментов для развёртывания OpenClaw, игровых читов, криптоботов и других приложений. В пакетах скрывается троян LuaJIT, который после активации делает скриншоты, определяет геолокацию и похищает данные.
Злоумышленники в рамках кампании, получившей название «TroyDen’s Lure Factory», разместили в нескольких репозиториях GitHub вредоносные пакеты под видом легитимного ПО. Как сообщает издание Dark Reading со ссылкой на сообщение исследователей Netskope Threat Labs, среди использованных приманок — инструменты для развертывания AI‑проекта OpenClaw, трекер номера телефона, читы для игры Fishing Planet, скрипты для Roblox, криптоботы и утилиты для взлома VPN.
Один из репозиториев имитировал Docker‑инструмент для развёртывания OpenClaw. Для достоверности авторы использовали оригинальный код из upstream-репозитория, оформили подробный README и создали страницу на github.io. В подготовке участвовало несколько участников, включая разработчика с собственным репозиторием, имеющим 568 звёзд; он вносил функциональный код, возможно, добросовестно.
Вредоносная нагрузка реализована на базе LuaJIT и использует двухкомпонентную структуру: переименованное окружение Lua и зашифрованный скрипт. Как поясняется в анализе, при раздельной проверке компоненты не вызывают срабатывания, угроза проявляется только при их совместном выполнении. Вредоносная активность проявляется лишь при одновременном запуске обоих компонентов: выполняются пять антианалитических проверок, срабатывает задержка примерно в 29 тысяч лет для обхода песочниц с ограничением по времени, сразу после этого делается и отправляется полный скриншот рабочего стола, а также похищаются учетные данные.
Собранная информация передаётся на командно‑контрольный сервер во Франкфурте. Как отмечается в материале, применение разнообразных приманок свидетельствует о нацеленности на массовое распространение, а не на точечные атаки.
Netskope уведомила GitHub о вредоносных проектах 20 марта. На момент публикации два репозитория‑приманки («Fishing Planet Cheat Menu» и «phone-number-location-tracking-tool») оставались доступны.
Исследователи также обращают внимание на признаки использования искусственного интеллекта для генерации названий приманок, содержащих отсылки к малоизвестной биологической таксономии, архаичной латыни и медицинской терминологии. В отчёте подчёркивается, что подобные схемы требуют от защитников выхода за рамки автоматизированного анализа, поскольку вредоносная активность проявляется только при совместном запуске компонентов в полном контексте.
Полный перечень индикаторов компрометации, включая хеши, сетевые индикаторы и учётные записи GitHub, приводится в исследовании.
В конце прошлого года SecPost писал о том, что на GitHub была обнаружена кампания по распространению ранее не отмеченного трояна PyStoreRAT, маскирующегося под OSINT-инструменты, DeFi-проекты и утилиты для ИБ. На втором этапе загрузки развертывался инфостилер Rhadamanthys, а артефакты в коде указывают на вероятное восточноевропейское происхождение угрозы.
Читайте также
