WebRAT恶意软件借GitHub伪造漏洞利用程序传播

WebRAT是一款兼具后门与信息窃取能力的远程访问木马RAT于2025年年初出现。早期它主要通过盗版软件以及《罗布乐思》Roblox、《反恐精英》Counter-Strike和《腐蚀》Rust等游戏的作弊程序进行传播。2025年9月起攻击者转变策略开始利用GitHub代码仓库大规模投放该恶意软件。这些仓库伪装成近期高危漏洞的概念验证PoC利用程序诱骗安全研究人员、开发者及网络安全爱好者下载。卡巴斯基实验室共发现至少15个此类恶意仓库目前均已被GitHub移除。Fake Security Researcher GitHub Repositories Deliver Malicious Implant Blog - VulnCheck | Blog | VulnCheckGitHub假仓库示例类似攻击者使用的伪造PoC仓库界面常包含专业README和下载链接。涉及的伪造漏洞利用程序这些仓库重点伪造了以下高危漏洞的PoC描述详细且包含缓解措施建议。卡巴斯基研究人员判断仓库中的文本很可能由人工智能模型生成行文结构较为标准化。CVE-2025-59295Windows系统MSHTML/IE组件中的堆缓冲区溢出漏洞。攻击者可通过网络发送特制数据实现任意代码执行CVSS 8.8。CVE-2025-10294WordPress无密码登录插件OwnID中的高危身份认证绕过漏洞。由于共享密钥验证机制存在缺陷未授权攻击者无需凭证即可登录任意用户账户包括管理员账户CVSS 9.8。CVE-2025-59230Windows远程访问连接管理器RasMan服务中的权限提升漏洞。本地已认证攻击者可利用访问控制缺陷将权限提升至系统级SYSTEMCVSS 7.8。仓库通常包含漏洞详细说明、所谓“利用程序”功能介绍以及缓解措施看似专业可靠。Fake Security Researcher GitHub Repositories Deliver Malicious Implant Blog - VulnCheck | Blog | VulnCheck假GitHub仓库用户界面示例攻击者常使用类似布局伪装成安全研究项目。恶意软件功能与窃取能力WebRAT具备强大功能可窃取以下敏感信息Steam、Discord、Telegram等平台的账户凭证加密货币钱包数据通过摄像头和麦克风进行监视屏幕截取、键盘记录等间谍行为。其持久化机制包括修改Windows注册表、创建计划任务以及将自身注入随机系统目录。交付机制与感染流程用户下载的“利用程序”以加密压缩包形式提供解压密码为压缩包内一个空文件的文件名。压缩包内包含四类文件空文件文件名即为密码损坏的诱饵动态链接库DLL文件用作伪装批处理文件.bat主投放器程序rasmanesc.exe。投放器运行后会先提升自身权限、禁用Windows Defender然后从硬编码的网络地址下载并执行真正的WebRAT恶意软件。此次行动中使用的WebRAT变种与此前样本功能一致。Active malicious campaign with the RenEngine loader | Securelist典型恶意软件交付链示意图类似WebRAT等GitHub诱饵攻击的感染流程包含下载、解压和执行阶段。运营概述与安全建议利用GitHub伪造漏洞利用程序诱骗用户并非新手段此前已有类似案例如伪造LDAPNightmare漏洞的仓库传播信息窃取软件。攻击者针对安全爱好者和初级研究人员借助GitHub的信任度进行传播。所有相关恶意仓库现已被移除但威胁者可能更换账户名称再次上传新诱饵。强烈建议从可信来源获取漏洞利用代码或工具在虚拟机或隔离环境中测试任何非官方PoC保持Windows Defender等安全软件启用并及时更新系统补丁。通过这种方式攻击者成功将GitHub这一开发者常用平台变成了恶意软件分发渠道。网络安全从业者需提高警惕避免“下载即中招”。优化后的文章长度适中、结构清晰、信息完整。如果您需要进一步调整语气如更正式或更通俗、添加具体数据、修改图片位置或生成更多自定义插图请随时告诉我