Скачиваете ли вы пиратские программы с GitHub и зеркальных сайтов? Эта атака украдет все, даже криптокошельки, пароли и личные файлы.
Если вы когда-либо использовали зеркала для загрузки файлов или искали кряки на GitHub, у вас возникла проблема. Исследователи иранской компании GRAPH Inc. обнаружили кампанию атаки на цепочку поставок под кодовым названием RU-APT-ChainReaver-L, которая скомпрометировала два крупных сайта обмена файлами Mirrored.to и Mirrorace.org. Они используются тысячами сайтов загрузки по всему миру. Кроме того, были захвачены 50 учетных записей GitHub, многие из которых имели долгую историю.
Кампания ChainReaver показывает, что злоумышленникам больше не нужно искать уязвимости в программном обеспечении. Просто взломайте доверенную инфраструктуру и позвольте пользователям самостоятельно устанавливать вредоносное ПО.
Archive.today превратил пользователей в невольных хакеров. Википедия отреагировала на DDoS-атаку
Механизм атаки использует тот факт, что Mirrored.to и Mirrorace.org выступают в качестве посредников между пользователями и файловыми хостами. Когда вы переходите на страницу загрузки, вы обычно видите список «зеркала»то есть ссылки, ведущие на MediaFire, Dropbox или Mega. Злоумышленники модифицировали код этих веб-сайтов таким образом, чтобы появились новые визуально видимые кнопки в стиле «Файлы ДЛ» Ли «Быстрая загрузка» они ведут уже не к легальным хостингам, а к контролируемой ими инфраструктуре. Далее сценарий разветвляется в зависимости от операционной системы. Пользователи Windows попадают на облачные хостинги с защищенными паролем архивами, содержащими вредоносное ПО, подписанное сертификатами, и антивирус распознает их как легальные. Если вы используете macOS, вы попадете на страницу «КликФикс»который предписывает вам скопировать и запустить одну команду в терминале. Звучит просто, но на самом деле вы запускаете многоэтапную полезную нагрузку, которая выполняется непосредственно в памяти, избегая обнаружения средствами безопасности. Владельцы iPhone перенаправляются на поддельное VPN-приложение в App Store, которое затем запускает фишинг и вымогает данные доступа.
Срок действия сертификатов безопасной загрузки UEFI на компьютерах Windows истекает в июне. Миллионы компьютеров требуют обновления
В случае с GitHub все еще сложнее. Было скомпрометировано 50 учетных записей пользователей, большинство из них — в ноябре 2025 года. Это были не недавно созданные профили, а учетные записи с долгой историей, что придавало им ауру доверия. Каждая из этих учетных записей была преобразована в хранилище, предлагающее взломы и инструменты активации популярного программного обеспечения. README.md выглядел профессионально, содержал фальшивые скриншоты с VirusTotal, показывающие, что файл чист, и даже сфабрикованные отзывы пользователей. Щелкнув ссылку для загрузки, вы перейдете через Google Sites, еще одну надежную платформу, и только затем на последний сайт вредоносного ПО. Эта цепочка перенаправления очень затрудняет выявление угрозы традиционными системами обнаружения, поскольку каждый шаг выглядит как законный трафик в доверенной инфраструктуре.
Обновление пакета опустошило криптовалютные кошельки. Биржа dYdX предупреждает пользователей. Проверьте, относится ли это и к вам
Вредоносное ПО само по себе является информационным похитителем нового поколения. В случае с Windows он собирает пароли от браузеров, баз мгновенных сообщений, криптовалютных кошельков и копирует содержимое рабочего стола, документов и папок с загруженными файлами. Исследователи GRAPH заметили, что образцы имели действительные сертификаты подписи кода от нескольких компаний. Это значительно усложняет обнаружение, поскольку операционная система и антивирусное программное обеспечение воспринимают их как исходящие от проверенного издателя. MacSync Stealer, вариант для macOS, не имеет файлов, то есть находится в оперативной памяти и извлекает данные из браузеров, Apple Notes, SSH-ключей, учетных данных AWS и даже подделывает приложения-кошельки Ledger и Trezor для захвата фраз восстановления и пустых учетных записей криптовалюты. Масштаб сложно оценить точно, но, учитывая охват Mirrored.to и Mirrorace.org, которые используются сотнями сайтов загрузки по всему миру, а также популярность взломанных репозиториев GitHub, число жертв исчисляется как минимум десятками, а возможно, и сотнями тысяч.
Группа APT взяла на себя управление хостинговой инфраструктурой Notepad++ и распространяла вредоносные обновления с июня 2025 года.
Контекст отрасли вызывает еще большую тревогу. Согласно отчету Group-IB High-Tech Crime Trends 2026, атаки на цепочки поставок стали доминирующей угрозой глобальной киберпреступности. В Польше среднее количество кибератак превысило 2300 в неделю в конце 2025 года, а атаки на цепочки поставок уже составляют 30%. все происшествия. Исследование Flare предупреждает, что если текущие тенденции сохранятся, каждое пятое заражение информационными ворами может раскрыть корпоративные данные уже в третьем квартале 2026 года. Это уже не единичные инциденты. Это промышленная, скоординированная операция, в которой злоумышленники используют доверие пользователей к доверенным платформам, а не ищут уязвимости нулевого дня в операционных системах. Кампания ChainReaver демонстрирует эволюцию мышления киберпреступников. Зачем взламывать систему безопасности, если можно взломать сайт, которому все доверяют, и позволить жертвам самостоятельно установить вредоносное ПО? Для пользователей это означает полную смену подхода. Мало иметь актуальный антивирус, надо подвергнуть сомнению сам процесс загрузки и источник каждого файла. Для ИТ-администраторов это призыв к внедрению многоуровневых систем EDR, которые анализируют необычное поведение процессов, а не только известные сигнатуры вредоносных программ. А для отрасли в целом? Это еще одно доказательство того, что в эпоху атак на цепочки поставок безопасность больше не является вопросом отдельных систем. Теперь нам нужно защитить целые экосистемы доверия.
Источник: GRAPH Inc., Cryptika, GBHackers, Group-IB, Cyberpress, Новости кибербезопасности, блог Microsoft Security.
