Вход на сайт

Просмотр новости

Найдите то, что Вас интересует

Поддельный Go DNS Scanner обнаружили в 222 GitHub-репозиториях с вредоносным ПО

Дата публикации: 11-07-2026 21:01:18

Специалисты компании Socket обнаружили вредоносный модуль Go, который выдавал себя за DNS-сканер и распространялся через 222 репозитория на GitHub.

Основное содержимое страницы с новостью.

Специалисты компании Socket обнаружили вредоносный модуль Go, который выдавал себя за DNS-сканер и распространялся через 222 репозитория на GitHub.

Компания Socket, занимающаяся безопасностью цепочки поставок ПО, опубликовала отчет о масштабной кампании. Злоумышленники создали поддельный модуль для языка Go, который выглядел как легитимный сканер DNS-записей. На самом деле он загружал на компьютеры жертв вредоносные программы. Кампания получила название Operation Muck and Load.

 740346_O.pngИзображение: Tom's Hardware

Вредоносный модуль появился на GitHub 24 января. С тех пор злоумышленники опубликовали более 1200 версий, из которых как минимум 700 содержали вредоносный код. Специалисты Socket отследили их до 222 репозиториев, принадлежащих 190 учетным записям.

Для массового создания версий авторы использовали автоматизированный процесс. Система контроля версий Git позволяет назначать номер версии на основе времени коммита. Злоумышленники настроили GitHub Actions так, чтобы каждую минуту создавать новый коммит с переписанной историей. При этом они оставляли один повторяющийся идентификатор — адрес электронной почты ischhfd83@rambler.ru.

Сам модуль содержал скрытую PowerShell-команду. Она скачивала данные с сайта muckcoding.com, декодировала их и запускала на выполнение. Следующий слой скрипта использовал кодировку Base64 и XOR-шифрование. В одном из фрагментов исследователи нашли комментарий на турецком языке: "запускай напрямую, никаких дополнительных действий не нужно".

Вместо жестко заданного адреса загрузчика злоумышленники размещали зашифрованные ссылки на публичных площадках: Pastebin, Rlim, YouTube, Telegram, Google Docs и GitCode. Основной архив с вредоносной программой хранился на GitHub и был защищен паролем. Если одну ссылку блокировали, авторы могли обновить данные в другом месте, не меняя сам модуль.

🔥 Это может быть вам так же интересно:☟ 

740345_O.pngРазработчики все чаще переходят с GitHub на Codeberg и собственные серверы

После распаковки архив создавал папку, похожую на установочную директорию Microsoft Photos, и запускал оттуда исполняемый файл. Среди обнаруженных вредоносных программ — трояны удаленного доступа AsyncRAT, Quasar и Remcos, похититель данных Vidar, а также криптомайнер XMRig для добычи Monero. Модуль маскировали под различные полезные инструменты: интеграции с MetaMask и Trust Wallet, утилиты для работы с сид-фразами, автоматизацию Binance и PayPal, ботов для Telegram и Discord, а также читы для игр PUBG, Valorant и Escape from Tarkov.

Специалисты Socket связывают эту кампанию с прошлогодней атакой, которую документировала компания Sophos. Тогда злоумышленники использовали те же адреса и домены. GitHub и команда разработчиков Go заблокировали вредоносные модули в официальном репозитории, но публичных комментариев пока не давали.

Схожие новости

#Наименование новостиТональностьИнформативностьДата публикации
1F6 обнаружила фишинговые сайты под видом сетей АЗС0523-06-2026
2F6 обнаружила фишинговые сайты под видом сетей АЗС0523-06-2026
3Футбольный финт: «Лаборатория Касперского» выявила сотни поддельных сайтов, имитирующих официальные ресурсы FIFA0719-06-2026
4Google поблагодарил резидента "Сколково" за обнаружение критической неисправности Android0030-10-2020
5 Malicious GitHub Repositories Could Trick AI Coding Agents Into Running Hidden Malware, Researchers Warn 0728-06-2026
6Guardian: в Google разоблачили многолетнюю хакерскую атаку на пользователей iPhone0030-08-2019
7Хакеры атаковали несколько интернет-компаний с помощью уязвимостей реестра Роскомнадзора0014-03-2019
8Эксперты выявили 22 тысячи попыток заражения вредоносным ПО под видом сериалов Netflix0021-07-2020
9В Нью-Йорке и Коннектикуте проводят проверки в связи с возможной утечкой данных в Google0009-10-2018

Классификация: Пресс-релизы. Схожих патентов: 0. Схожих новостей: 9. Тональность: 0. Информативность: 7. Источник: overclockers.ru.