虚假GitHub漏洞库传播WebRAT恶意软件，安全研究人员需警惕

近期，名为WebRAT的恶意软件正通过伪造的GitHub仓库快速传播。这些仓库声称包含针对未公开新发现漏洞的概念验证漏洞利用代码。攻击者利用AI生成的描述来诱骗安全研究人员和开发者，使其系统感染恶意文件。

WebRAT一旦执行，便会窃取在线银行账户、加密货币钱包，并为攻击者提供对受害者计算机的完全且不受限制的访问权限。

GitHub被武器化

网络犯罪分子正在将GitHub本身武器化。他们创建虚假仓库，承诺提供针对高知名度安全漏洞的有效概念验证代码。但实际上，他们传播的是一个名为WebRAT的恶意后门。

这并非WebRAT首次出现。该恶意程序于今年年初首次露面，并通过盗版工具以及《反恐精英》、《Roblox》甚至《Rust》等游戏的作弊工具传播。但其运营商刚刚升级了他们的手法。他们现在通过巧妙伪装的传播方式，瞄准了技术性更强的受众。

至少自9月以来，威胁行为者一直在创建精美的GitHub仓库。这些仓库声称提供针对几个引起轰动的漏洞的有效利用代码。卡巴斯基安全研究人员发现了15个以此方式传播WebRAT的仓库。

一组虚假漏洞利用代码重点介绍了几项重大的安全漏洞。第一个是CVE-2025-59295，据称是Windows操作系统中MSHTML和Internet Explorer内的基于堆的缓冲区溢出漏洞；据称该“漏洞利用”的最终结果是，攻击者通过发送特制的网络数据包，可以远程在目标主机上执行任意代码。

第二个是CVE-2025-10294，被吹捧为影响无需密码登录的WordPress的关键身份验证绕过漏洞。声称能使攻击者无需任何身份验证，即可以任何用户（包括管理员）身份登录。

最后，第三个虚假广告是CVE-2025-59230——Microsoft远程访问连接管理器（RACM）中的一个权限提升漏洞。据称RACM的明显弱点会让本地攻击者将其权限提升至SYSTEM级别。

每个仓库看起来都很正规。它们提供了有关漏洞的详细信息，解释了所谓的漏洞利用代码的作用，甚至列出了可用的缓解措施。卡巴斯基研究人员认为所有这些文本都是使用人工智能模型生成的。其结构和呈现方式足够专业，足以欺骗经验丰富的开发者。

根据Solar 4RAYS五月份的报告，WebRAT是一个具有广泛信息窃取功能的后门程序。它会窃取Steam、Discord和Telegram账户的凭证。此外，它还针对持有虚拟资产的钱包数据，这对攻击者极具价值。

然而，该恶意程序不仅窃取存储的信息。它还会通过摄像头窥视受害者，甚至截取他们正在操作的屏幕截图。

虚假漏洞利用文件以受密码保护的ZIP文件形式到达。内部，受害者会发现一个以密码作为文件名的空文件、一个损坏的诱饵DLL、一个用于执行链的批处理文件以及名为rasmanesc.exe的主要投放器。

一旦执行，投放器会立即开始工作。它会在系统上提升自身权限，并禁用Windows Defender以避免检测。防御这种主动寻求禁用安全性的恶意软件需要一个强大、有弹性的安全解决方案。然后，它会从硬编码的URL下载并执行完整的WebRAT有效载荷。

WebRAT有多种持久化策略，以确保在系统重启后仍能存活。它会修改Windows注册表项、利用任务计划程序，并将自身部署到随机的系统目录中。这些使得受感染受害者难以清除它。

卡巴斯基指出，此活动中使用的WebRAT变种与先前记录的样本相符。研究人员解释说：“其操作能力与过去的报告保持一致。”该恶意软件保留了相同的凭证窃取、摄像头窥视和屏幕截图捕获功能。

利用GitHub上的虚假漏洞利用代码传播恶意软件并非新鲜事。安全研究人员过去已广泛记录过这种策略。最近，威胁行为者曾在GitHub上推广一个虚假的“LDAPNightmare”漏洞利用代码，通过类似方法传播信息窃取恶意软件。

此事件是攻击者武器化GitHub生态系统更广泛模式的一部分，正如另一次活动中所见，黑客通过入侵该平台上合法的OAuth应用程序，渗透了多个组织。

卡巴斯基识别了GitHub上的恶意仓库并编制了清单；然而，预计恶意行为者将继续通过创建和提交具有不同发布者名称的新仓库，试图诱使用户下载其恶意软件。由于几乎没有准入门槛，恶意行为者很容易提交看起来合法的新仓库来欺骗毫无戒心的用户。

作为最佳实践，当测试来自可能不受信任来源的代码或漏洞利用程序时，卡巴斯基建议开发者和安全专业人员在受控环境中运行它们，并确保他们能够控制运行漏洞利用代码的环境。