Spis treści
Czy kiedykolwiek zastanawiałeś się, czy to narzędzie deweloperskie, którego używasz na co dzień, może ukrywać nieoczekiwane zagrożenie? Wyobraź sobie, że za idealnie legalną fasadą kryje się pułapka gotowa się na ciebie zamknąć. To właśnie ujawnia niedawne odkrycie kampanii złośliwego oprogramowania na GitHub, gdzie złośliwe oprogramowanie przebrane za zwykłe narzędzia zagraża deweloperom i użytkownikom na całym świecie.
3 informacje, których nie można przegapić
Ujawniona przez Netskope Threat Labs, złośliwa kampania TroyDen’s Lure Factory wykorzystuje GitHub jako platformę dystrybucji. Z ponad 300 zainfekowanymi pakietami, atakującym udało się oszukać wielu użytkowników, używając repozytoriów, które wydają się całkowicie legalne. Te repozytoria zawierają oprogramowanie przebrane za narzędzia deweloperskie lub gry i wykorzystują wiarygodność GitHub do infiltracji systemów ofiar.
Atakujący użyli technik dowodu społecznego, aby wzmocnić wiarygodność tych repozytoriów, tworząc fałszywe konta do dodawania gwiazdek i forków. Wszystko to jest zorganizowane za pośrednictwem kanału Telegram „NumberLocationTrack”, docierając do szerokiej publiczności.
Złośliwe oprogramowanie z tej kampanii jest zaprojektowane tak, aby pozostać niezauważonym. Opiera się na złożonej architekturze z dwoma plikami, które indywidualnie są nieszkodliwe, ale po połączeniu stają się groźne: wykonywalny LuaJIT i zaszyfrowany skrypt Lua. Dzięki temu unika klasycznych analiz antywirusowych.
Aby dodatkowo się zabezpieczyć, złośliwe oprogramowanie sprawdza kilka parametrów technicznych przed uruchomieniem, takich jak obecność debuggera lub podejrzana nazwa maszyny. W razie wątpliwości przechodzi w stan uśpienia na okres aż 29 000 lat, co czyni jego wykrycie prawie niemożliwym.
Infrastruktura ataku obejmuje osiem serwerów zlokalizowanych we Frankfurcie, umożliwiając jednoczesne zarządzanie tysiącami ofiar. Badacze z Netskope zidentyfikowali, że architektura kodu serwera bardziej przypomina tę stworzoną przez sztuczną inteligencję niż przez ludzkiego dewelopera.
Automatyzacja ta odzwierciedla się również w nazwach folderów używanych dla złośliwego oprogramowania, które czerpią z niejasnych terminów z biologii i medycyny, wzmacniając hipotezę o automatycznym generowaniu przez AI.
GitHub, mimo swojej reputacji jako zaufanej platformy dla deweloperów, jest tutaj wykorzystywany przez cyberprzestępców. Bezpieczeństwo na platformach online pozostaje dużym wyzwaniem, a ta sprawa podkreśla konieczność, aby użytkownicy pozostawali czujni, nawet na renomowanych stronach.
GitHub został poinformowany o fałszywych repozytoriach przez Netskope 20 marca 2026 roku. Chociaż podjęto kroki w celu ochrony społeczności, ten incydent przypomina, że nawet najbardziej dopracowane strony projektów i najbardziej znani współtwórcy nie gwarantują braku ryzyka.
Netskope to uznana firma zajmująca się bezpieczeństwem, znana z zaawansowanych rozwiązań w zakresie ochrony danych i wykrywania zagrożeń. Ujawniając kampanię TroyDen’s Lure Factory, podkreśla znaczenie czujności na platformach współpracy deweloperskiej, takich jak GitHub.
GitHub z kolei jest największą platformą deweloperską na świecie, używaną przez miliony deweloperów do współpracy i dzielenia się kodem. Chociaż istnieją konkurenci, tacy jak GitLab i Bitbucket, GitHub pozostaje nieodzownym wyborem dla wielu profesjonalistów z branży. Ta sprawa podkreśla konieczność, aby GitHub i jego użytkownicy stale wzmacniali swoje praktyki bezpieczeństwa, aby zapobiegać takim atakom.