Cyberkriminella vapenar nu själva GitHub. De skapar falska arkiv som lovar fungerande proof-of-concept-kod för högprofilerade säkerhetsbrister. Istället levererar de en otäck bakdörr som heter WebRAT.
Detta är inte WebRATs första rodeo. Det skadliga programmet dök upp först i början av året och har spridits via piratkopierade verktyg samt spelfusk för Counter Strike, Roblox och till och med Rust. Men operatörerna höjde bara sitt spel. De riktar sig nu till en mycket mer teknisk publik med en smart förklädd distributionsmetod.
Utnyttja exploatsjägarna
Sedan åtminstone september har hotaktörer skapat polerade GitHub-arkiv. Dessa repor hävdar att de tillhandahåller fungerande utnyttjande av flera sårbarheter som skapade rubriker. Kasperskys säkerhetsforskare upptäckte 15 arkiv som driver WebRAT på detta sätt.
En uppsättning falska utnyttjanden lyfte fram flera betydande säkerhetsbrister. Den första var CVE-2025-59295 som påstår sig vara ett heapbaserat buffertspill inom MSHTML och Internet Explorer på Windows operativsystem; det uppenbara slutresultatet av "utnyttjandet" är att, genom att skicka specialgjorda nätverkspaket, kan en angripare exekvera godtycklig kod på en målvärd på distans.
Den andra var CVE-2025-10294, utpekad som en kritisk förbikoppling av autentisering som påverkar WordPress utan lösenordsbaserade inloggningar. Påstår sig kunna ge en angripare möjligheten att logga in som vilken användare som helst, inklusive administratörer, utan att använda någon autentisering alls.
Slutligen var den tredje falska annonsen CVE-2025-59230 – en nästa nivå av privilegierarbarhet i Remote Access Connection Manager (RACM) från Microsoft. RACM:s uppenbara svaghet skulle låta lokala angripare utöka sina privilegier till åtkomst på SYSTEM-nivå.
Varje förråd såg legitimt ut. De tillhandahöll detaljerad information om sårbarheten, förklarade vad det påstådda utnyttjandet gör och angav till och med tillgängliga åtgärder. Kaspersky-forskare tror att all denna text skapades med hjälp av artificiell intelligensmodeller. Strukturen och presentationen var tillräckligt professionella för att lura erfarna utvecklare.
Vad WebRAT faktiskt gör
Enligt en Solar4RAYS rapportfrån maj är WebRAT en bakdörr med omfattande möjligheter att stjäla information. Den letar efter referenser från Steam-, Discord- och Telegram-konton. Vad mer! Den riktar sig till data från plånböcker som innehåller virtuella tillgångar, vilket är mycket värdefullt för dåliga aktörer.
Det skadliga programmet kapar dock inte bara lagrad information. Den letar efter offer via webbkameror och tar till och med skärmdumpar av vad de än gör.
De falska utnyttjandena kommer som lösenordsskyddade ZIP-filer. Inuti hittar offren en tom fil med lösenordet som filnamn, en skadad decoy-DLL, en batchfil för avrättningskedjan och huvuddropparen som heter rasmanesc.exe.
När den har utförts, börjar dropparen att arbeta omedelbart. Det höjer sina privilegier på systemet och inaktiverar Windows Defender för att undvika upptäckt. Försvar mot skadlig programvara som aktivt försöker inaktivera säkerheten kräver en stark, motståndskraftig säkerhetslösning. Sedan laddar den ner och kör hela WebRAT-nyttolasten från en hårdkodad URL.
WebRAT har många uthållighetstaktiker för att se till att den övervinner systemomstarter. Den ändrar Windows-registerposter, använder Task Scheduler och distribuerar sig själv i slumpmässiga systemkataloger. Dessa gör borttagning svårt för smittade offer.
Kasperskynoterar att denna kampanjs WebRATvariant matchar tidigare dokumenterade prover. "Den operativa förmågan förblir i linje med tidigare rapporter," förklarade forskarna. Skadlig programvara upprätthåller samma funktioner för stöld av autentiseringsuppgifter, webbkameraspionage och skärmdumpsfångst.
Att använda falska exploits på GitHub för att sprida skadlig programvara är inte precis nytt. Säkerhetsforskare har dokumenterat denna taktik utförligt tidigare. Nyligen marknadsförde hotaktörer en falsk "LDAPNightmare"-exploatering på GitHub för att sprida infostöld skadlig programvara med liknande metoder.
Denna incident är en del av ett bredare mönster av angripare som beväpnar GitHubs ekosystem, vilket kan ses i en separat kampanj där hackare gjorde intrång i flera organisationer aväventyra legitima OAuth-applikationerpå plattformen.
Kaspersky identifierade skadliga arkiv på GitHub och sammanställde en lista över dem; Det förväntas dock att illvilliga aktörer kommer att fortsätta att försöka locka användare att ladda ner sin skadliga programvara genom att skapa och skicka in nya arkiv med olika utgivarnamn. Med praktiskt taget inga hinder för inträde är det lätt för illvilliga aktörer att skicka in nya arkiv som verkar legitima för intet ont anande användare.
Som en fråga om bästa praxis, när man testar kod eller exploateringar från potentiellt opålitliga källor, rekommenderar Kaspersky att utvecklare och säkerhetspersonal kör dem i en kontrollerad miljö och säkerställer att de är kapabla att kontrollera miljön där exploateringskoden körs.