导语:至少从今年9月起,该恶意软件的运营者开始借助精心构造的GitHub代码仓库投放病毒,这些仓库宣称提供多款曾被媒体报道的漏洞利用程序。
WebRAT恶意软件目前正通过GitHub代码仓库进行传播,这些仓库谎称存放着近期披露漏洞的概念验证(PoC)利用程序。
这款兼具后门功能与信息窃取能力的恶意软件于2025年年初出现,此前的传播渠道为盗版软件,以及《罗布乐思》《反恐精英》《腐蚀》等游戏的作弊程序。
据报告显示,WebRAT能够窃取Steam、Discord、Telegram等平台的账户凭证,以及加密货币钱包数据,同时还可通过摄像头监视受害者,并截取设备屏幕画面。
至少从去年9月起,该恶意软件的运营者开始借助精心构造的GitHub代码仓库投放病毒,这些仓库宣称提供多款曾被媒体报道的漏洞利用程序,涉及的漏洞包括:
-CVE-2025-59295:Windows系统MSHTML/IE组件中存在的堆缓冲区溢出漏洞,攻击者可通过网络发送特制数据,实现任意代码执行。
-CVE-2025-10294:WordPress无密码登录插件OwnID中的高危身份认证绕过漏洞。由于对共享密钥的验证机制存在缺陷,未授权攻击者无需凭证即可登录任意用户账户,包括管理员账户。
-CVE-2025-59230:Windows远程访问连接管理器(RasMan)服务中的权限提升漏洞。本地已认证攻击者可利用该服务的访问控制缺陷,在受影响的Windows设备上将自身权限提升至系统权限(SYSTEM)。
卡巴斯基实验室的安全研究人员共发现15个传播WebRAT的恶意代码仓库,这些仓库均包含漏洞相关说明、所谓利用程序的功能介绍,以及对应的缓解措施。
从内容的行文结构判断,卡巴斯基认为这些文本由人工智能模型生成。
恶意仓库中的漏洞描述
该恶意软件具备多种持久化驻留手段,包括修改Windows注册表、创建计划任务,以及将自身注入随机的系统目录中。
研究人员指出,这些伪造的漏洞利用程序以加密压缩包形式分发,压缩包内包含四类文件:文件名即为解压密码的空文件、用作伪装的损坏诱饵动态链接库文件、攻击执行链中所需的批处理文件,以及名rasmanesc.exe的主投放器程序。
档案内容
分析显示,这款投放器会先提升自身权限、禁用Windows Defender杀毒软件,再从硬编码的网络地址下载并执行WebRAT恶意软件。
卡巴斯基强调,此次攻击活动中使用的WebRAT变种,与此前已被记录的样本并无差异,具备的功能也与过往报告描述一致。
WebRAT的运营概述
利用GitHub上的伪造漏洞利用程序诱骗不明真相的用户安装恶意软件,并非新出现的攻击手段,相关案例在过去已有大量记载。就在近期,威胁者还曾通过在GitHub上推广伪造的LDAPNightmare漏洞利用程序,传播信息窃取类恶意软件。
目前,卡巴斯基发现的所有与本次WebRAT攻击活动相关的恶意GitHub代码仓库均已被移除。但开发者及网络安全爱好者仍需警惕所使用资源的来源,因为威胁者可能会更换发布者名称,再次上传新的诱饵仓库。因此人们在测试来自非可信来源的漏洞利用程序或代码时,务必在可控的隔离环境中运行。
文章来源自:https://www.bleepingcomputer.com/news/security/webrat-malware-spread-via-fake-vulnerability-exploits-on-github/如若转载,请注明原文地址
