Злоумышленники пытаются наживаться на блокировках Telegram и массовом поиске способов их обхода. За последнее время мы обнаружили несколько очень схожих инцидентов запуска вредоносных утилит, скачанных с GitHub под видом подлинного софта.
Заражений не произошло — антивирусы отработали штатно, но тренд налицо. Поэтому мы собрали короткую памятку о том, как раскусить фейковый репозиторий за пару секунд.
Люди пытаются найти рабочие инструменты для обхода ограничений, например популярный локальный прокси tg-ws-proxy от разработчика flowseal. Поиск нужной утилиты часто начинается в браузере, и тут пользователей ждет ловушка, связанная со спецификой поисковиков.
Из-за действующих ограничений в РФ ссылки на оригинальные и валидные репозитории удаляются из поисковой выдачи «Яндекса». В результате на самом верху поиска образуется вакуум, который моментально заполняется свежими ссылками на малварь.
Эти фейки еще не успели попасть в списки на блокировку, поэтому выдаются первыми. По нашим наблюдениям, Google такую проблему с подменой выдачи решает довольно быстро.
Третья ссылка по запросу «tg-ws-proxy» — это вообще зеркало GitHub, поэтому отдельно стоит их упомянуть. Пользователи часто доверяют неофициальным прокси-сервисам для скачивания релизов по инерции, думая, что скачивают оригинальный код. Однако под капотом такого зеркала вполне может оказаться подмененный бинарник или скрипт с «сюрпризом» в виде того же Salat Stealer или Santa Stealer (который, к слову, умеет пылесосить не только сессии браузеров, но и нужные файлы по заданным расширениям). Даже если ссылка выглядит максимально похоже на оригинал, при скачивании со сторонних платформ всегда есть опасность подмены скачиваемого файла.
Схема
Внешне подделка выглядит абсолютно органично. Мошенники подчистую копируют раздел README.md настоящей программы, сохраняя оригинальную верстку и даже реквизиты для донатов настоящему автору.
Расчет идет на машинальные действия. Пользователь видит знакомое оформление и на автомате тянется к кнопке загрузки, не задумываясь о проверке источника.
Индикаторы фейка
Выявить вредоносный репозиторий можно с первого взгляда на профиль. Вот что сразу выдает подделку:
1. Поскольку вредоносная инфраструктура долго не живет, мы сразу встретим свежий аккаунт. Профили разработчиков-злоумышленников обычно зарегистрированы буквально пару недель назад.
2. Настоящая разработка состоит из истории осмысленных коммитов, а в фейках весь код заливается за один раз через веб-интерфейс платформы. Вместо нормальных описаний изменений везде висит заглушка «Add files via upload».
3. Оригинальный проект всегда имеет тысячи звезд, кучу форков, множество следящих пользователей и кипящую вкладку Issues. У клонов по всем счетчикам стоят нули, а обсуждение проблем часто просто отключено от греха подальше. Все это мертвая социальная активность из-за фейковости утилиты, никто за ней попросту не следит.
4. И еще один важнейший маркер: инструкции по установке. Мошенники часто пишут в README что-то вроде: «Софт использует обфускацию / взаимодействует с сетью, поэтому Windows Defender ругается — это false positive, добавьте папку в исключения». Никогда этого не делайте! Отключать защиту можно лишь в случае полного доверия разработчику. Но желательно провести аудит исходного кода и лично скомпилировали проект. Во всех остальных ситуациях вы просто добровольно открываете парадную дверь для малвари.
5. Последнее, но не по значимости — спам репозиториями. Внутри фейкового аккаунта обычно сразу создана целая пачка репозиториев с похожими названиями для максимального покрытия поисковых запросов. Эффективность этого метода наглядно видна в поиске «Яндекса», когда первые три релевантные ссылки — это вредоносные репозитории.
Итог
Данная атака работает исключительно за счет того, что мошенники эксплуатируют популярность рабочих инструментов из-за блокировок, слепое доверие к авторитету GitHub и особенности алгоритмов поисковой выдачи.
Важно помнить, что платформа сама по себе полностью безопасна и предоставляет только хостинг, она может не успевать модерировать каждый файл, поскольку новый материал для проверки появляется без перерыва 24/7. Чтобы не пришлось вычищать трояны, исследовать скачанное или сносить систему, возьмите за правило проводить 10-секундный чекап перед скачиванием.
Чек-лист безопасности репозитория:
- Возраст аккаунта. Зарегистрирован неделю назад? Закрываем.
- История коммитов. Залито одним куском с подписью Add files via upload? Это 100% подделка.
- Социальная жизнь. У популярной утилиты не может быть 0 звезд, 0 форков и мертвой/закрытой вкладки Issues.
- Инструкции. Автор просит отключить антивирус? Проходим мимо, если не уверены на 1000% в подлинности.
- Источник. Ищите ссылки на GitHub в официальных каналах авторов, а не слепо кликайте по первой строке в поисковике.
IoC
https://github[.]com/WerewolfPenguinPulse/tg-ws-proxy-v1.8.1
https://github[.]com/EconomicDitch/tg-ws-proxy-win64
https://github[.]com/Flatpluforce/TelegramFix
https://github[.]com/coralhokageeradicate/TG-WS-Proxy-v1.8.0
https://github[.]com/ditchstorksewer
https://github[.]com/TornadoCourier
https://github[.]com/Linkseprotect/Discord-Fix
https://github[.]com/ProhibitionClient/TG-WS-Proxy/releases
https://github[.]com/Cinderaignite/tg-ws-proxy-v1.8.1
























































