На GitHub раскрыта масштабная сеть вредоносного ПО от российского разработчика — кто за этим стоит

В популярном сервисе GitHub была выявлена крупная сеть, включающая более ста репозиториев с вредоносным программным обеспечением. По данным исследователей, все эти репозитории могут принадлежать одному разработчику, чья электронная почта связана с российским доменом. Этот анонимный пользователь под псевдонимом ischhfd83, по предположению специалистов из компании Sophos, создал программное обеспечение, направленное не на обычных пользователей, а на самих киберпреступников, в частности на начинающих хакеров, которые пока не обладают собственными навыками создания вредоносных программ или не могут позволить себе покупку готовых инструментов.

Специалисты рассказали, что в обнаруженных репозиториях содержится множество версий трояна удаленного доступа под названием Sakura RAT. Этот троян интересен тем, что он встраивает в себя скрытый механизм, который при запуске серверной части тайно устанавливает дополнительное вредоносное ПО на компьютеры тех, кто пытается использовать его для атак на других пользователей. Таким образом, программа фактически атакует своих же пользователей — начинающих хакеров, а не обычных людей. При этом сама по себе Sakura RAT не способна полноценно выполнять свои функции в роли удаленного трояна из-за отсутствия некоторых частей кода, что делает ее скорее инструментом для вредоносной деятельности против тех, кто пытается применить ее на практике.

Дальнейший анализ позволил выявить, что большая часть кода Sakura RAT была взята из широко распространенного в преступных кругах AsyncRAT, однако с существенными изменениями. Помимо этого, было установлено, что кроме трояна, в сети ischhfd83 также распространялись программы для взлома видеоигр, боты и инструменты, связанные с криптовалютой. Отдельные проекты ориентировались на подгрузку вредоносных файлов на компьютеры геймеров и других пользователей, что свидетельствует о разнообразии направлений деятельности создателя сети. При этом активность пользователя была зафиксирована главным образом в период с 2024 по 2025 год, но есть предположения, что кампания началась еще в 2022 году.

Интересной особенностью всей этой сети является то, что разработчик или разработчики прикладывали серьезные усилия для маскировки своих репозиториев под легитимные проекты. Они использовали встроенные инструменты GitHub для автоматического обновления и добавления коммитов, создавая впечатление, что репозитории активно поддерживаются и развиваются. Так, в некоторых случаях за месяц появлялось до 60 тысяч коммитов, что могло вводить в заблуждение неопытных пользователей. Однако внимательные специалисты заметили подозрительные моменты: большинство участников проектов имели очень похожие никнеймы с небольшими изменениями, имели мало собственных репозиториев, а также использовали одинаковые почтовые адреса, связанные с основным аккаунтом ischhfd83.

Эксперты Sophos отметили, что, несмотря на все попытки замаскировать вредоносный контент, данные репозитории были быстро обнаружены и переданы модераторам GitHub, которые оперативно закрыли подозрительные аккаунты. Это стало частью борьбы с растущими хакерскими кампаниями, которые в последнее время все чаще направлены на противостояние между самими киберпреступниками. В мае 2025 года Sophos опубликовала расследование, в котором сообщалось о случаях, когда одна из групп вымогателей пыталась повредить сайты конкурентов, чтобы монополизировать рынок, что свидетельствует о возросшей жестокости среди хакерских группировок.

Несмотря на то что подобные атаки на хакеров могут показаться положительным сдвигом, существует серьезная опасность для начинающих программистов и разработчиков, которые изучают код из открытых источников. Из-за большого количества коммитов и внешнего вида репозиториев они могут ошибочно посчитать проекты безопасными и запустить их на своих устройствах, что приведет к заражению их компьютеров вредоносным ПО. Эксперты предупреждают, что подобные кампании будут продолжаться, меняя направления и цели атак, что требует повышенного внимания к источникам и содержанию программного обеспечения даже для самых опытных пользователей.