WebRAT是一款兼具后门 与信息窃取能力的远程访问木马(RAT),于2025年年初出现。早期,它主要通过盗版软件以及《罗布乐思》(Roblox)、《反恐精英》(Counter-Strike)和《腐蚀》(Rust)等游戏的作弊程序进行传播。
2025年9月起,攻击者转变策略,开始利用GitHub代码仓库大规模投放该恶意软件。这些仓库伪装成近期高危漏洞的概念验证(PoC)利用程序,诱骗安全研究人员、开发者及网络安全爱好者下载。卡巴斯基实验室共发现至少15个此类恶意仓库,目前均已被GitHub移除。
Fake Security Researcher GitHub Repositories Deliver Malicious Implant Blog - VulnCheck | Blog | VulnCheck
GitHub假仓库示例(类似攻击者使用的伪造PoC仓库界面,常包含专业README和下载链接)。
涉及的伪造漏洞利用程序
这些仓库重点伪造了以下高危漏洞的PoC,描述详细且包含缓解措施建议。卡巴斯基研究人员判断,仓库中的文本很可能由人工智能模型生成,行文结构较为标准化。
- CVE-2025-59295:Windows系统MSHTML/IE组件中的堆缓冲区溢出漏洞。攻击者可通过网络发送特制数据,实现任意代码执行(CVSS 8.8)。
- CVE-2025-10294:WordPress无密码登录插件OwnID中的高危身份认证绕过漏洞。由于共享密钥验证机制存在缺陷,未授权攻击者无需凭证即可登录任意用户账户(包括管理员账户,CVSS 9.8)。
- CVE-2025-59230:Windows远程访问连接管理器(RasMan)服务中的权限提升漏洞。本地已认证攻击者可利用访问控制缺陷,将权限提升至系统级(SYSTEM,CVSS 7.8)。
仓库通常包含漏洞详细说明、所谓"利用程序"功能介绍,以及缓解措施,看似专业可靠。
Fake Security Researcher GitHub Repositories Deliver Malicious Implant Blog - VulnCheck | Blog | VulnCheck
假GitHub仓库用户界面示例(攻击者常使用类似布局伪装成安全研究项目)。
恶意软件功能与窃取能力
WebRAT具备强大功能,可窃取以下敏感信息:
- Steam、Discord、Telegram等平台的账户凭证;
- 加密货币钱包数据;
- 通过摄像头和麦克风进行监视;
- 屏幕截取、键盘记录等间谍行为。
其持久化机制包括修改Windows注册表、创建计划任务,以及将自身注入随机系统目录。
交付机制与感染流程
用户下载的"利用程序"以加密压缩包形式提供,解压密码为压缩包内一个空文件的文件名。压缩包内包含四类文件:
- 空文件(文件名即为密码);
- 损坏的诱饵动态链接库(DLL)文件(用作伪装);
- 批处理文件(.bat);
- 主投放器程序 rasmanesc.exe。
投放器运行后,会先提升自身权限、禁用Windows Defender,然后从硬编码的网络地址下载并执行真正的WebRAT恶意软件。此次行动中使用的WebRAT变种与此前样本功能一致。
Active malicious campaign with the RenEngine loader | Securelist
典型恶意软件交付链示意图(类似WebRAT等GitHub诱饵攻击的感染流程,包含下载、解压和执行阶段)。
运营概述与安全建议
利用GitHub伪造漏洞利用程序诱骗用户并非新手段,此前已有类似案例(如伪造LDAPNightmare漏洞的仓库传播信息窃取软件)。攻击者针对安全爱好者和初级研究人员,借助GitHub的信任度进行传播。
所有相关恶意仓库现已被移除,但威胁者可能更换账户名称再次上传新诱饵。强烈建议:
- 从可信来源获取漏洞利用代码或工具;
- 在虚拟机或隔离环境中测试任何非官方PoC;
- 保持Windows Defender等安全软件启用,并及时更新系统补丁。
通过这种方式,攻击者成功将GitHub这一开发者常用平台变成了恶意软件分发渠道。网络安全从业者需提高警惕,避免"下载即中招"。
优化后的文章长度适中、结构清晰、信息完整。如果您需要进一步调整语气(如更正式或更通俗)、添加具体数据、修改图片位置,或生成更多自定义插图,请随时告诉我!