Μια καμπάνια κακόβουλου λογισμικού που ανακαλύφθηκε πρόσφατα εξαπλώνεται αθόρυβα μέσω ψεύτικων αποθετηρίων GitHub, στοχεύοντας ταυτόχρονα προγραμματιστές λογισμικού, παίκτες, παίκτες Roblox και χρήστες κρυπτογράφησης.
Παρακολούθηση εσωτερικά ως TroyDen’s Lure Factory, η καμπάνια αναπτύσσει έναν προσαρμοσμένο trojan LuaJIT που έχει σχεδιαστεί προσεκτικά για να ξεφεύγει από τα αυτοματοποιημένα εργαλεία ασφαλείας — ένα επίπεδο τεχνικής ακρίβειας που υποδεικνύει έναν παράγοντα απειλής με καλούς πόρους.
Η επίθεση επικεντρώνεται σε ένα πειστικά κατασκευασμένο αποθετήριο GitHub — AAAbiola/openclaw-docker — που υποδύεται ένα εργαλείο ανάπτυξης Docker για το νόμιμο έργο OpenClaw AI.
Το αποθετήριο διαθέτει ένα εκλεπτυσμένο README με οδηγίες εγκατάστασης τόσο για Windows όσο και για Linux, μια συνοδευτική σελίδα GitHub.io και πραγματικούς συνεργάτες, συμπεριλαμβανομένου ενός προγραμματιστή με δικό τους αποθετήριο 568 αστέρων.
Για περαιτέρω ψεύτικη αξιοπιστία, ο εισβολέας γέμισε το έργο με άχρηστους λογαριασμούς που πρόσθεταν αστέρια και πιρούνια, ενώ προσεκτικά επιλεγμένες ετικέτες θεμάτων – ai-agents, docker, openclaw και LLM – ώθησαν το αποθετήριο στην κορυφή των αποτελεσμάτων αναζήτησης προγραμματιστών.
Οι ερευνητές της Netskope Threat Labs προσδιόρισαν την εκστρατεία μετά την ανίχνευση ενός τρωανοποιημένου πακέτου που χρησιμοποιούσε τεχνικές αποφυγής συμπεριφοράς που είχαν σχεδιαστεί για να νικήσουν τους αυτοματοποιημένους αγωγούς ανάλυσης.
Η έρευνά τους διαπίστωσε ότι η ίδια κακόβουλη αλυσίδα εργαλείων τρέχει σε περισσότερα από 300 επιβεβαιωμένα πακέτα παράδοσης – cheat gaming, trackers τηλεφώνου, κροτίδες VPN και σενάρια Roblox – όλα φιλοξενούνται σε πολλά αποθετήρια GitHub και όλα συνδέονται ξανά στην ίδια υποδομή εισβολέων.
Τα ονόματα των καταλόγων δέλεαρ, που προέρχονται από ασαφή βιολογική ταξινόμηση, αρχαϊκή λατινική και ιατρική ορολογία, υποδηλώνουν έντονα ότι η ονομασία δημιουργήθηκε από μηχανή, υποδεικνύοντας την παραγωγή κακόβουλου λογισμικού με τη βοήθεια AI σε κλίμακα.
Ο αντίκτυπος της καμπάνιας εκτείνεται σε ένα ευρύ φάσμα χρηστών. Κάθε μηχάνημα-θύμα εντοπίζεται γεωγραφικά τη στιγμή που ξεκινά η εκτέλεση και ένα πλήρες στιγμιότυπο οθόνης επιφάνειας εργασίας λαμβάνεται και αποστέλλεται σε έναν διακομιστή C2 στη Φρανκφούρτη της Γερμανίας.
Με οκτώ επιβεβαιωμένες διευθύνσεις IP πίσω από το ίδιο backend με εξισορρόπηση φορτίου, η υποδομή είναι σαφώς κατασκευασμένη για όγκο.
Οι ερευνητές συνέδεσαν επίσης τον χειριστή με ένα κανάλι Telegram — @NumberLocationTrack — που λειτουργεί με το όνομα TroyDen από τον Ιούνιο του 2025, υποδηλώνοντας ότι αυτή η καμπάνια ήταν ενεργή μήνες πριν από την εμφάνιση των αποθετηρίων GitHub.
Δύο αρχεία, ένα όπλο
Το πιο τεχνικά χαρακτηριστικό μέρος αυτής της καμπάνιας είναι ο τρόπος με τον οποίο χωρίζεται το ωφέλιμο φορτίο για να αποφευχθεί ο εντοπισμός.
Κάθε κακόβουλο πακέτο ZIP περιέχει τρία στοιχεία: ένα αρχείο δέσμης που ονομάζεται Launch.bat, έναν μετονομασμένο χρόνο εκτέλεσης LuaJIT με το όνομα unc.exe και μια ασαφή δέσμη ενεργειών Lua που είναι κρυμμένη ως License.txt. Όταν οποιοδήποτε αρχείο υποβάλλεται σε έναν αυτοματοποιημένο σαρωτή από μόνο του, φαίνεται ακίνδυνο.
Η απειλή ζωντανεύει μόνο όταν το αρχείο δέσμης εκτελεί και τα δύο στοιχεία μαζί με τη σωστή σειρά — ένα σχέδιο που εκμεταλλεύεται άμεσα τον τρόπο με τον οποίο τα τυπικά sandboxes αναλύουν τα αρχεία μεμονωμένα.
.webp.jpeg)
Μόλις οπλιστούν και τα δύο κομμάτια, το ωφέλιμο φορτίο εκτελείται από πέντε ελέγχους κατά της ανάλυσης — σάρωση για παρουσία προγράμματος εντοπισμού σφαλμάτων, χαμηλή μνήμη RAM, σύντομο χρόνο λειτουργίας συστήματος, αυξημένη πρόσβαση προνομίων και συγκεκριμένα ονόματα υπολογιστών.
Αν κάτι μοιάζει με sandbox, η εκτέλεση σταματά. Εάν όχι, μια κλήση Sleep() ξεκινά για περίπου 29.000 χρόνια, αρκετά για να διαρκέσει περισσότερο από οποιοδήποτε παράθυρο χρονομετρημένης ανάλυσης. Μέχρι τη στιγμή που ένα εργαλείο ασφαλείας αναφέρει μια καθαρή ετυμηγορία, το ωφέλιμο φορτίο έχει ήδη εκτελεστεί σε πραγματικό μηχάνημα χωρίς να αφήνει ίχνος στα αρχεία καταγραφής του sandbox.
Ο Prometheus Obfuscator στη συνέχεια ξαναγράφει τη ροή ελέγχου του σεναρίου Lua, καθιστώντας την ανάλυση στατικού κώδικα αναξιόπιστη. Τέσσερις εγγραφές μητρώου απενεργοποιούν την αυτόματη ανίχνευση διακομιστή μεσολάβησης των Windows, ωθώντας την εξερχόμενη κυκλοφορία πέρα από τα επίπεδα εταιρικής επιθεώρησης.
Στη συνέχεια, το ωφέλιμο φορτίο καταγράφει ολόκληρη την επιφάνεια εργασίας και το ανεβάζει μέσω ενός κωδικοποιημένου πολλαπλών τμημάτων POST στον διακομιστή Frankfurt C2, ο οποίος ανταποκρίνεται με κρυπτογραφημένες σταγόνες εργασίας και φορτωτή που είναι αποθηκευμένες στο φάκελο Documents του θύματος.
.webp.jpeg)
Η συμβολοσειρά ορίων C2 – μια σταθερή τιμή 38 χαρακτήρων που επαναλαμβάνεται σε κάθε παρατηρούμενο αίτημα – αποκαλύπτει ότι ο χειριστής πιθανότατα χρησιμοποίησε τη δημιουργία κώδικα με τη βοήθεια AI για τη δημιουργία του πίνακα από την πλευρά του διακομιστή.
Όποιος κατέβασε πακέτα από τα τρία αποθετήρια που επηρεάζονται θα πρέπει να αντιμετωπίζει το μηχάνημά του ως παραβιασμένο και να αναζητά σημάδια μη εξουσιοδοτημένης πρόσβασης.
Οι ομάδες ασφαλείας θα πρέπει να αντιμετωπίζουν οποιαδήποτε λήψη του GitHub που συνδυάζει έναν μετονομασμένο διερμηνέα με ένα αδιαφανές αρχείο δεδομένων ως περίπτωση διαλογής υψηλής προτεραιότητας.
Τα δημοσιευμένα IOC θα πρέπει να αναπτυχθούν αμέσως στο EDR και στα εργαλεία παρακολούθησης δικτύου και όλες οι εξερχόμενες συνδέσεις με τις επιβεβαιωμένες διευθύνσεις IP C2 θα πρέπει να αποκλειστούν σε επίπεδο τείχους προστασίας.
