На GitHub обнаружили фальшивые утилиты для обхода блокировок - «Новости»
- 14:30, 16-июл-2026
- Новости / Изображения / Ссылки / Преимущества стилей / Видео уроки
- Станислав
- 0
Специалисты Solar 4RAYS ГК «Солар» предупреждают, что злоумышленники используют блокировку Telegram и повышенный спрос на средства обхода ограничений для распространения малвари через GitHub. Поддельные репозитории копируют оформление популярных утилит и появляются на первых позициях в выдаче поисковиков.
Исследователи рассказывают о нескольких схожих инцидентах, когда пользователи запускали вредоносные инструменты, скачанные с GitHub под видом легитимного софта. Хотя благодаря защитным решениям заражений удалось избежать, в отчете отмечается, что подобных атак становится все больше.
Специалисты объясняют, что из-за действующих в РФ ограничений ссылки на оригинальные и валидные репозитории удаляются из поисковой выдачи «Яндекса». В результате в верхних строках поиска возникает «вакуум», который моментально заполняют вредоносные ссылки.
К примеру, одной из приманок злоумышленников стал популярный локальный прокси tg-ws-proxy разработчика flowseal. Так как оригинальный репозиторий может отсутствовать в результатах поиска, вредоносные ссылки поднимаются на первые позиции в «Яндексе» по запросам вроде «tg-ws-proxy». По наблюдениям специалистов, в Google такие фальшивки из выдачи удаляют заметно быстрее.
Дополнительную опасность, по словам исследователей, представляют неофициальные зеркала GitHub (третья ссылка на скриншоте выше). В изученных кампаниях через такие площадки распространялись, в частности, стилеры Salat и Santa. Последний способен похищать не только браузерные сессии, но и файлы с заданными расширениями.
При этом поддельные репозитории выглядят убедительно: злоумышленники полностью копируют README настоящего проекта, включая верстку, изображения и даже реквизиты для пожертвований. Мошенники рассчитывают на то, что знакомое оформление и домен GitHub усыпят бдительность жертвы.
Однако при более внимательном рассмотрении фальшивки выдают детали. Обычно такой репозиторий принадлежит аккаунту, зарегистрированному несколько недель назад, а весь код загружен одним коммитом через веб-интерфейс с описанием «Add files via upload». Кроме того, исследователи отмечают, что у популярных утилит не бывает ноль звезд и форков, пустой истории изменений и отключенной вкладки Issues.
Другой характерный признак фальшивки — подозрительные инструкции по установке. В README вредоносных проектов часто можно встретить просьбы отключить антивирус или добавить директорию программы в исключения. Авторы подделок объясняют это особенностями работы Windows Defender, обфускацией или сетевыми функциями приложения. На деле отключение защиты лишь позволяет малвари запуститься без помех.
Кроме того, злоумышленники часто создают в одном аккаунте сразу несколько репозиториев с похожими названиями, чтобы охватить как можно больше поисковых запросов. Из-за этого первые релевантные результаты в поиске «Яндекса» могут вести на разные страницы, принадлежащие одному оператору.
Исследователи заключают, что GitHub лишь предоставляет хостинг и не всегда успевает оперативно проверять новый контент. Поэтому пользователям советуют брать ссылки на проекты из официальных каналов разработчиков, а перед загрузкой проверять возраст аккаунта, историю коммитов и активность репозитория.


















Комментарии (0)