Злоумышленники используют SEO-отравление для распространения вредоносного ПО через GitHub

Эти архивы маскируются под установщики популярных и полезных утилит. Однако внутри вместо ожидаемой программы находится вредоносный пакетный файл с расширением .bat. При его запуске происходит утечка данных о системе жертвы на управляющий сервер (C2, Command and Control) с помощью утилиты cURL. Следующим этапом атаки становится выполнение закодированного скрипта PowerShell, который проводит разведку на зараженном компьютере.

В одном из зафиксированных случаев на целевую систему после разведки был загружен и установлен клиент TeamViewer. Злоумышленники использовали эту легальную программу удаленного доступа в качестве инструмента для получения контроля над компьютером. Подобная тактика обеспечивает злоумышленникам устойчивость (persistence) в системе и позволяет проводить дальнейшие вредоносные действия.

По данным исследователей, вредоносные ZIP-архивы, связанные с этой кампанией, фиксировались вплоть до ноября 2025 года. Примеры репозиториев на GitHub, созданных с помощью SEO-отравления, оставались активными даже в январе 2026 года. Однако важно отметить, что содержимое архивов в этих репозиториях изменилось. На текущий момент они содержат только легитимные файлы или установщики программ, а вредоносная нагрузка (payload) была удалена.

Следовательно, новые случаи заражения через эту конкретную цепочку поставки вредоносного ПО сейчас не обнаруживаются. Тем не менее, инфраструктура, использовавшаяся злоумышленниками, остается на месте. Эксперты по безопасности продолжают мониторинг данной угрозы, поскольку существует вероятность её возобновления или модификации. Атака демонстрирует растущую изощренность киберпреступников, которые комбинируют социальную инженерию, злоупотребление доверием к платформам вроде GitHub и легитимными инструментами для достижения своих целей.

Данный инцидент служит важным напоминанием для пользователей и системных администраторов. Следует проявлять особую осторожность при загрузке программного обеспечения, даже из официально выглядящих источников. Критически важно проверять репутацию репозиториев, скачивать ПО только с официальных сайтов разработчиков и использовать современные антивирусные решения. Кроме того, необходимо регулярно обновлять системы и проводить аудит установленного программного обеспечения для выявления потенциально нежелательных программ.

Domains

• 2tnl.digital
• ankaraotogaleri.com
• antipolitical.com
• base22.digital
• bestebettingsider.com
• brandingsolutions.com
• globalcharts.com
• rasprod.com
• systemsheuristics.com

URLs

• https://github.com/avdhost/Azure-Virtual-Desktop/releases/tag/1.0.118
• https://github.com/konvyr/GlobalProtect/releases/tag/6.1.9
• https://github.com/msrdesktop/Microsoft-Remote-Desktop/releases/tag/v1.2.6
• https://github.com/ntfsid/RDCMan/releases/tag/v3.1
• https://github.com/querymesh/ScreenConnect-Client/releases
• https://github.com/regfile/RDCMan/releases/
• https://github.com/taskp/PsExec/releases/tag/v2.43

SHA256

• 18f708032d184fafd9bbbe21863e07081b2a3cab5c130c953281bb67d4e48ff0
• 23d260b2709be0a4d8acff4eafabc8f90b66553e2a4c72aa368260cefb8a7772
• 27f3bd706e1a348f17b2b652f889bf576e5ccd31d3742a9b560f01b7f7d0f022
• 32999b06c7bb172bbbba46018caad8cdfe6ccd3c84eee08232ff7944680caa37
• 3a978ffb4931a9441c963c011e4b2b434e860b8d492740acf376b683dcbf314a
• 3e86e50cd29c266813f1167448be817acfee1c7416062d5836f094bedf1d56eb
• 555a54ab1a29d069bd0138731849d0ae55cdd67a8733de6fb9f5de0a3feefbfc
• 5bd813331102e380851b9549cb85e00a6a1ffc0bfa3d7a6aa292a339693bf668
• 5e784d9dcdf69fd3bc0d59f94e1fbdc05f83fc5d7ba44e6be51ec3e4d3d0ac38
• 717f41263c630b22264936f8737db51169d9947231390a9c1fbf931642ac36af
• 7d955361c3d264097ee0622b42d40671a8c63098f59986e4c89f4aaec236f638
• 9513fd19cff090402ccf0f776ed140a9dfa4a296a75480d2130e9420ac2165a0
• cdd0250c6894180d6c3462d2e01fd82ade61a0e2660baac886c5d96460fc4507
• d003f07424b89f05b508e589ea077a074933029d8162e4f3cf97567a1e99b497
• ee403407691a1630baad10b91acde2d5040b7173dd967cc456d60382ee9723a3
• fe4301d5a21c1fc81ad56c4b7806c54c9a7d82221b6566562df2b4bfbad27462