На GitHub обнаружили фальшивые утилиты для обхода блокировок - «Новости»

  • 14:30, 16-июл-2026
  • Новости / Изображения / Ссылки / Преимущества стилей / Видео уроки
  • Станислав
  • 0

Специалисты Solar 4RAYS ГК «Солар» предупреждают, что злоумышленники используют блокировку Telegram и повышенный спрос на средства обхода ограничений для распространения малвари через GitHub. Поддельные репозитории копируют оформление популярных утилит и появляются на первых позициях в выдаче поисковиков.


Исследователи рассказывают о нескольких схожих инцидентах, когда пользователи запускали вредоносные инструменты, скачанные с GitHub под видом легитимного софта. Хотя благодаря защитным решениям заражений удалось избежать, в отчете отмечается, что подобных атак становится все больше.


Специалисты объясняют, что из-за действующих в РФ ограничений ссылки на оригинальные и валидные репозитории удаляются из поисковой выдачи «Яндекса». В результате в верхних строках поиска возникает «вакуум», который моментально заполняют вредоносные ссылки.


К примеру, одной из приманок злоумышленников стал популярный локальный прокси tg-ws-proxy разработчика flowseal. Так как оригинальный репозиторий может отсутствовать в результатах поиска, вредоносные ссылки поднимаются на первые позиции в «Яндексе» по запросам вроде «tg-ws-proxy». По наблюдениям специалистов, в Google такие фальшивки из выдачи удаляют заметно быстрее.





Дополнительную опасность, по словам исследователей, представляют неофициальные зеркала GitHub (третья ссылка на скриншоте выше). В изученных кампаниях через такие площадки распространялись, в частности, стилеры Salat и Santa. Последний способен похищать не только браузерные сессии, но и файлы с заданными расширениями.


При этом поддельные репозитории выглядят убедительно: злоумышленники полностью копируют README настоящего проекта, включая верстку, изображения и даже реквизиты для пожертвований. Мошенники рассчитывают на то, что знакомое оформление и домен GitHub усыпят бдительность жертвы.





Однако при более внимательном рассмотрении фальшивки выдают детали. Обычно такой репозиторий принадлежит аккаунту, зарегистрированному несколько недель назад, а весь код загружен одним коммитом через веб-интерфейс с описанием «Add files via upload». Кроме того,  исследователи отмечают, что у популярных утилит не бывает ноль звезд и форков, пустой истории изменений и отключенной вкладки Issues.


Другой характерный признак фальшивки — подозрительные инструкции по установке. В README вредоносных проектов часто можно встретить просьбы отключить антивирус или добавить директорию программы в исключения. Авторы подделок объясняют это особенностями работы Windows Defender, обфускацией или сетевыми функциями приложения. На деле отключение защиты лишь позволяет малвари запуститься без помех.


Кроме того, злоумышленники часто создают в одном аккаунте сразу несколько репозиториев с похожими названиями, чтобы охватить как можно больше поисковых запросов. Из-за этого первые релевантные результаты в поиске «Яндекса» могут вести на разные страницы, принадлежащие одному оператору.





Исследователи заключают, что GitHub лишь предоставляет хостинг и не всегда успевает оперативно проверять новый контент. Поэтому пользователям советуют брать ссылки на проекты из официальных каналов разработчиков, а перед загрузкой проверять возраст аккаунта, историю коммитов и активность репозитория.


Специалисты Solar 4RAYS ГК «Солар» предупреждают, что злоумышленники используют блокировку Telegram и повышенный спрос на средства обхода ограничений для распространения малвари через GitHub. Поддельные репозитории копируют оформление популярных утилит и появляются на первых позициях в выдаче поисковиков. Исследователи рассказывают о нескольких схожих инцидентах, когда пользователи запускали вредоносные инструменты, скачанные с GitHub под видом легитимного софта. Хотя благодаря защитным решениям заражений удалось избежать, в отчете отмечается, что подобных атак становится все больше. Специалисты объясняют, что из-за действующих в РФ ограничений ссылки на оригинальные и валидные репозитории удаляются из поисковой выдачи «Яндекса». В результате в верхних строках поиска возникает «вакуум», который моментально заполняют вредоносные ссылки. К примеру, одной из приманок злоумышленников стал популярный локальный прокси tg-ws-proxy разработчика flowseal. Так как оригинальный репозиторий может отсутствовать в результатах поиска, вредоносные ссылки поднимаются на первые позиции в «Яндексе» по запросам вроде «tg-ws-proxy». По наблюдениям специалистов, в Google такие фальшивки из выдачи удаляют заметно быстрее. Дополнительную опасность, по словам исследователей, представляют неофициальные зеркала GitHub (третья ссылка на скриншоте выше). В изученных кампаниях через такие площадки распространялись, в частности, стилеры Salat и Santa. Последний способен похищать не только браузерные сессии, но и файлы с заданными расширениями. При этом поддельные репозитории выглядят убедительно: злоумышленники полностью копируют README настоящего проекта, включая верстку, изображения и даже реквизиты для пожертвований. Мошенники рассчитывают на то, что знакомое оформление и домен GitHub усыпят бдительность жертвы. Однако при более внимательном рассмотрении фальшивки выдают детали. Обычно такой репозиторий принадлежит аккаунту, зарегистрированному несколько недель назад, а весь код загружен одним коммитом через веб-интерфейс с описанием «Add files via upload». Кроме того, исследователи отмечают, что у популярных утилит не бывает ноль звезд и форков, пустой истории изменений и отключенной вкладки Issues. Другой характерный признак фальшивки — подозрительные инструкции по установке. В README вредоносных проектов часто можно встретить просьбы отключить антивирус или добавить директорию программы в исключения. Авторы подделок объясняют это особенностями работы Windows Defender, обфускацией или сетевыми функциями приложения. На деле отключение защиты лишь позволяет малвари запуститься без помех. Кроме того, злоумышленники часто создают в одном аккаунте сразу несколько репозиториев с похожими названиями, чтобы охватить как можно больше поисковых запросов. Из-за этого первые релевантные результаты в поиске «Яндекса» могут вести на разные страницы, принадлежащие одному оператору. Исследователи заключают, что GitHub лишь предоставляет хостинг и не всегда успевает оперативно проверять новый контент. Поэтому пользователям советуют брать ссылки на проекты из официальных каналов разработчиков, а перед загрузкой проверять возраст аккаунта, историю коммитов и активность репозитория.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!