На GitHub развернута фабрика вредоносных репозиториев, использующая ИИ для массовой атаки

Угроза была выявлена в репозитории "AAAbiola/openclaw-docker", который выдавал себя за инструмент для развёртывания популярного проекта OpenClaw в контейнерах Docker. Репозиторий обладал всеми внешними признаками легитимности: детализированное описание README, страница на GitHub.io, список участников, включая разработчика с собственным популярным проектом. Однако внутри находился скрытый каталог с названием "Diatrymiformes" (отряд вымерших птиц), содержащий вредоносную полезную нагрузку. Анализ показал, что этот и другие репозитории, такие как "mikenob39wang/phone-number-location-tracking-tool" и "B3RZ3RK/fishing-planet-enhanced-menu", распространяют идентичные вредоносные файлы, нацеленные на разные группы пользователей.

Вредоносная программа использует двухкомпонентную архитектуру, специально разработанную для уклонения от песочниц и автоматического анализа. Первый компонент - это переименованный интерпретатор LuaJIT (исполняющая среда для скриптового языка Lua), который статические антивирусы могут детектировать как подозрительный, но который сам по себе не представляет угрозы. Второй компонент - зашифрованный и обфусцированный скрипт на Lua, который выглядит как неисполняемый текстовый файл. Опасное поведение проявляется только тогда, когда оба файла запускаются вместе в определённой последовательности, что обычно не происходит при автоматической проверке отдельных файлов.

Исследователи из Netskope детально изучили поведение вредоносной программы. После запуска она выполняет серию из пяти проверок на анализ: ищет отладчик, проверяет объём оперативной памяти (целясь в маломощные песочницы), анализирует время работы системы, права доступа и имя компьютера. Если среда кажется подозрительной, выполнение прекращается. Затем программа уходит в "сон" на примерно 29 000 лет - этот приём эффективно обходит песочницы с фиксированным временем анализа. После обхода этих препятствий программа отключает автоматическое обнаружение прокси в системе, что позволяет ей обходить корпоративные средства инспекции трафика. Первым действием на заражённом компьютере становится моментальный снимок всего экрана, который отправляется на сервер в Франкфурте. Только после этого программа получает от сервера управления и контроля (C2) зашифрованные команды для дальнейших действий.

Инфраструктура злоумышленников демонстрирует признаки масштабируемости и, возможно, автоматизации. Было обнаружено восемь активных C2-серверов в одной автономной системе в Германии, которые, вероятно, балансируют нагрузку. Шаблоны API-эндпоинтов выглядят наивно и стандартизировано, что позволяет предположить их генерацию с помощью ИИ-инструментов для разработки. Анализ названий каталогов с вредоносной нагрузкой во множестве пакетов выявил систематическое использование малопонятной биологической таксономии, архаичной латыни и медицинской терминологии (например, Chelydridae, nephrosclerosis, hastati). Подобный стиль, применённый к сотням образцов, с высокой вероятностью указывает на машинную, а не человеческую генерацию, что подтверждает гипотезу об "AI-assisted malware generation" - создании вредоносного ПО с помощью ИИ.

По данным VirusTotal, с основными C2-серверами связаны более 300 файлов, что подчёркивает размах кампании. Анализ кода показывает, что программа загружает библиотеки DPAPI (Data Protection API в Windows), что является признаком нацеленности на кражу учётных данных из браузеров и других защищённых хранилищ операционной системы. Эта поведенческая характеристика совпадает с ранее документированными кампаниями, использовавшими аналогичные обфускаторы Prometheus, которые в конечном итоге доставляли такие известные программы-похитители данных, как Redline и LummaStealer.

Кампания TroyDen’s Lure Factory наглядно демонстрирует эволюцию тактик злоумышленников в эпоху доступных ИИ-инструментов. Вместо точечных атак они создают автоматизированные "фабрики", способные генерировать множество убедительных приманок для разных аудиторий, используя единую техническую основу и инфраструктуру. Основная опасность заключается в преднамеренном обходе стандартных автоматизированных средств защиты: двухкомпонентный дизайн, долгий "сон" и проверки на анализ делают угрозу практически невидимой для песочниц. Защитникам следует проявлять повышенную бдительность в отношении репозиториев на GitHub, особенно тех, которые предлагают скачивание архивов, содержащих пару "переименованный исполняемый файл + непонятный текстовый файл", независимо от внешней убедительности проекта.

IPv4

• 213.176.73.159
• 217.119.129.118
• 217.119.129.121
• 217.119.129.122
• 217.119.129.76
• 89.169.12.241
• 94.156.154.6

URLs

• https://t.me/NumberLocationTrack

SHA256

• 11c06aab7aa3f1857cc9add05b392ba6bd62a7fd2d168e41d9ba5557a96c78f0
• 28d09366dc7842fe42f44a27cb54c6e1ba6769f42a27b99f5d455efb1e6de454
• 30694a0101abfeea642cb9de7fb7eb66789eea74d8d7257b39822d7dab59445d
• 357cd0a1601d24bbb7949637b352b0ace1f30f51f788a03cafa98316068938e0
• 398ea394f9a4242ebe9fd67a5ca62445fc4a34b1731d4f99b8eea5e65a98ddcb
• 39d39e6726408e778c8ad3d85010e1db0a686ebec1f8807f96cf80be59dfdd59
• 3fc5816afde3e58bf9fcaa1b3873f2d4bc8629ee7a8341a4a4979d2729cad5e6
• 5343326fb0b4f79c32276f08ffcc36bd88cde23aa19962bd1e8d8b80f5d33953
• 593916916552ce87cd6fde7353875e023cd8a89f13d222fc636634a43ff65cdb
• 66ee4143e50c42b26f1059a33860d49513194c6b049245c9a68a45dbefa40ec1
• 8e322af81744217427abef3cab949aee1de70f1506f40e4e2d672af9e1f6ef0b
• 964dfb63ff140149ed8b310dba63fd8d82a82dc9979348e93b3dd7206fd71d13
• b1d3e7e81016561faddf7b0a6cb9a3bd0174064b3b309c6948f5f1e6688a1381
• b1f9c4d82eb5f73b9081c3d414b3c053c1550e46fa21d30079134be3c0040ddb
• b54ea465f77f1eb726d3244aa52d13c103ad9c4fc5a15061b7067347896b433c
• b5c571363632a6887c6e9471435ab0fdcbf16bae6dbdf28d0fc755a9d467e859
• b6e81d95c0c336e8b8bde3889f4df4ee17639f6ff055c631de19cab3c7efb63b
• c58720dcb30e5c887ff5bfd41bb46a611f2655128f1ef1a771e1745f24349dfe
• c655c2d410e6b36d9ef1359aef67183bf76c193c609697492e41d30622f7ebd4
• c7a657af5455812fb215a8888b7e3fd8fa1ba27672a3ed9021eb6004eff271ac