Аналитики компании Datadog обнаружили активную кампанию, в ходе которой злоумышленники создают поддельные репозитории на GitHub, выдавая их за официальные приложения известных технологических компаний. Основная цель - социальная инженерия, побуждающая жертв установить вредоносные программы-похитители данных (infostealers) с помощью техники, известной как ClickFix. Эксперты оценивают эту активность как продолжающуюся и отмечают её эволюцию: помимо обновлений macOS-инфостилера MacSync, появились признаки разработки аналогичного вредоносного ПО для Windows.
Описание
Кампания использует изощрённый метод начального доступа, который напоминает классический Typosquatting (подмену названий пакетов), но с ключевым отличием. Вместо того чтобы полагаться на случайную ошибку разработчика при вводе имени пакета, злоумышленники целенаправленно выбирают пользователей конкретных технологических компаний. Техника ClickFix идеально вписывается в эту модель, поскольку переносит решение о выполнении кода на саму жертву. Пользователю предлагается скопировать и вставить команду в терминал (macOS) или PowerShell (Windows), часто под предлогом "верификации" или "исправления" проблемы. Этот подход снижает зависимость от уязвимостей в ПО и предоставляет злоумышленникам масштабируемый механизм доставки вредоносных нагрузок (payload).
В рамках мониторинга злоупотреблений брендами специалисты Datadog Security обнаружили несколько вредоносных репозиториев, маскирующихся под легитимные настольные приложения, включая фейковый "Datadog Desktop App". Эти репозитории не содержат заявленного кода, а лишь README-файл со ссылкой для скачивания. При нажатии на ссылку жертва попадает в цепочку перенаправлений, кульминацией которой становится страница ClickFix.
Эта схема атаки аналогична ранее задокументированным кампаниям, однако демонстрирует операционное развитие. Злоумышленники обновили свою инфраструктуру командования и управления (C2), внедрили многоэтапный сбор телеметрии и перешли к использованию новых вариантов инфостилеров с расширенными возможностями. Одним из таких вариантов стал новый инфостилер для macOS под названием "SHub Stealer v2.0".
Многоступенчатая цепочка атаки и сбор данных
После перехода по ссылке из репозитория жертва попадает на промежуточную страницу, имитирующую интерфейс GitHub с анимацией загрузки. Эта страница содержит JavaScript, который выполняет несколько функций: определяет операционную систему посетителя, собирает его цифровой отпечаток (fingerprinting) и телеметрию (IP-адрес, геолокацию, данные user-agent), а затем перенаправляет на целевую страницу ClickFix в зависимости от ОС. Собранные данные отправляются на конечную точку Google Apps Script для отслеживания эффективности кампании.
На странице ClickFix, стилизованной под GitHub, пользователю показывается команда для копирования в терминал. Команда включает в себя закодированный в base64 URL, который при декодировании загружает и исполняет скрипт. Страница также содержит инструментарий для отслеживания действий жертвы, например, факта копирования команды в буфер обмена. Скрипт отправляет эти данные на сервер злоумышленников, используя механизм rate-limiting (один раз в день на посетителя), чтобы избежать срабатывания систем обнаружения аномалий.
Эволюция вредоносных нагрузок: от MacSync к SHub
Исполняемая цепочка в ходе кампании эволюционировала. Ранние варианты использовали загрузчик (stager), который, получив токен и API-ключ, запрашивал следующий этап с C2 и выполнял его без записи на диск, что усложняло обнаружение. Поздние версии загрузчика стали включать проверку окружения, например, выход из процесса, если в системе обнаружен русский язык ввода, что указывает на географическое таргетирование.
Основной нагрузкой в начале кампании был инфостилер MacSync, написанный на AppleScript. Он пытался получить пароль пользователя через поддельное диалоговое окно "System Preferences", после чего собирал широкий спектр данных: документы, учетные данные браузеров (Safari, Firefox), SSH-ключи, данные AWS, конфигурации Kubernetes, историю командных оболочек и даже базы данных Apple Notes. Собранная информация архивировалась и отправлялась на сервер злоумышленников.
Новый вариант, SHub Stealer v2.0, является более продвинутым потомком MacSync. Он демонстрирует существенные улучшения в ключевых областях. Например, его механизм кражи пароля теперь включает проверку учётных данных через системную утилиту "dscl" с циклом повторных попыток и эскалацией сообщений об ошибке. Это повышает надёжность сбора данных.
SHub также расширил список целевых типов файлов, включив форматы, характерные для корпоративной среды: CSV, Excel, JSON, RDP. При этом сбор стал более избирательным и контролируемым по объёму, чтобы снизить вероятность обнаружения. Особое внимание уделяется криптовалютным кошелькам: SHub использует расширенную таблицу для целевых браузерных расширений и точно знает, какие хранилища данных (Local Storage, Sync Storage, IndexedDB) нужно извлечь для каждого конкретного кошелька.
Главная опасность: устойчивость и удалённое управление
Наиболее значимым нововведением SHub v2.0 является реализация механизма устойчивости (persistence) и постоянного соединения с C2. Стилер устанавливает себя в системе как поддельный бинарный файл "GoogleUpdate" с LaunchAgent ("com.google.keystone.agent.plist"). Каждые 60 секунд этот агент отправляет "сердцебиение" (heartbeat) на C2-сервер, передавая идентификатор устройства, имя хоста, IP-адрес и версию macOS.
В ответ сервер может прислать команду в закодированном виде, которая будет декодирована, выполнена на заражённой системе и затем удалена. Это превращает SHub из инструмента разовой кражи в бота, предоставляющего злоумышленникам возможность удалённого выполнения команд, развёртывания дополнительных нагрузок и проведения рекогносцировки.
Рекомендации по защите
Для противодействия подобным угрозам организациям следует внедрять протоколы проверки источников загрузки ПО, обучать сотрудников, особенно технических специалистов, распознавать признаки фишинга. Ключевые красные флаги включают команды с кодировкой base64, загрузку скриптов через pipe ("|") прямо в оболочку, а также инструкции, обходящие стандартные процедуры установки. Необходимо проверять метаданные репозиториев GitHub: дату создания, историю коммитов и профили контрибьюторов. Легитимные проекты редко имеют скудную историю или документацию, сгенерированную ИИ.
Datadog сообщает, что все обнаруженные поддельные репозитории и связанные с ними страницы были переданы в GitHub для удаления. Однако низкая стоимость создания новой инфраструктуры означает, что подобные кампании будут продолжаться, а злоумышленники будут адаптировать свои методы, что требует постоянной бдительности со стороны компаний и их пользователей.
Индикаторы компрометации
Domains
- 3commas-app.github.io
- drmcdermottmd.com
- git-tool-install.github.io
- hci-outdoors.com
- imper-strlk5.com
- io-app-git.github.io
- mini-zmoto.com
- mubasokurso.com
- quadency-pro.github.io
- securityfenceandwelding.com
- skpwresorts.com
- stobminipinporl.com
- tiptopmarine.com
- warboardgame.com
Emails
- briandaem3440@hotmail.com
- esztersa7536@hotmail.com
- mayleeneslyn7391@outlook.com
- soocalicutt2358801@gmail.com
- vlsgtric39151b@hotmail.com
SHA256
- 9191101893e419eac4be02d416e4eed405ba2055441f36e564f09c19cb26271c
