Cercetătorii în securitate au descoperit o campanie sofisticată de atac asupra lanțului de aprovizionare, denumită RU-APT-ChainReaver-L, care vizează utilizatori pe platformele Windows, macOS și iOS prin intermediul site-urilor mirror de partajare fișiere compromise și al conturilor GitHub deturnate. Campania reprezintă una dintre cele mai elaborate operațiuni multiplatformă de atac asupra lanțului de aprovizionare identificate în ultimele luni, conform companiei de intelligence privind amenințările GRAPH.
Analiștii GRAPH au identificat campania în timp ce investigau o creștere bruscă a credențialelor furate care apăreau pe piețele din dark web. Echipa de cercetare a urmărit conturile compromise până la o operațiune coordonată de infectare și a descoperit o infrastructură de atac care se întinde pe mai mult de 100 de domenii, inclusiv servere de comandă și control și intermediari de redirecționare.
Infrastructură compromisă și metode de atac
Atacatorii au deturnat două servicii de mirror pentru partajarea fișierelor utilizate pe scară largă—Mirrored.to și Mirrorace.org—pentru a distribui malware de tip infostealer. Prin injectarea de cod malicios în aceste platforme, actorii de amenințare au transformat infrastructura de descărcare de încredere în mecanisme de livrare a malware-ului. Utilizatorii care încearcă să descarce fișiere sunt redirecționați prin multiple pagini intermediare concepute să ocolească detectarea de securitate, menținând în același timp o aparență de legitimitate.
Cercetătorii au observat că atacatorii au compromis 50 de conturi GitHub, multe având istorice consacrate care datează de câțiva ani, pentru a găzdui depozite malițioase. Aceste conturi au fost predominant deturnate în noiembrie 2025 și refolosite pentru a distribui software crackat și instrumente de activare care vizează utilizatorii în căutare de software piratat.
Campania utilizează tehnici avansate de evaziune, inclusiv semnarea codului cu certificate valide, ceea ce permite malware-ului să pară legitim pentru software-ul de securitate. Utilizatorii Windows sunt redirecționați către servicii de stocare în cloud precum MediaFire și Dropbox, unde arhivele protejate cu parolă conțin malware-ul semnat.
Capabilități ale programelor malware multi-platformă
Metodologia de atac variază în funcție de sistemul de operare. Programul malware pentru Windows funcționează ca un infostealer, capturând capturi de ecran, extragând date din portofele de criptomonede, baze de date ale aplicațiilor de mesagerie, acreditări din browsere și copiind fișiere din folderele Desktop, Documente și Descărcări.
Victimele macOS întâlnesc atacuri ClickFix—pagini înșelătoare care îi determină pe utilizatori să execute manual comenzi în terminal care descarcă și instalează MacSync Stealer. Acest malware funcționează fără fișiere în memorie, vizând date din browsere, acreditări ale portofele hardware, inclusiv Ledger și Trezor, chei SSH și acreditări AWS.
Utilizatorii iOS sunt direcționați către aplicații VPN frauduloase din Apple App Store care ulterior lansează atacuri de phishing împotriva dispozitivelor lor.
Amenințare continuă și recomandări
Operatorii campaniei își actualizează în mod continuu instrumentele și infrastructura, modificând semnăturile malware-ului și metodele de livrare la intervale scurte pentru a evita detectarea antivirus, au declarat cercetătorii GRAPH.
Echipele de securitate ar trebui să implementeze protecție multicalibrată pentru punctele terminale, inclusiv sisteme EDR capabile să detecteze comportamente neobișnuite ale proceselor și tipare suspecte de acces la fișiere, și să concentreze monitorizarea rețelei pe conexiunile către serviciile de partajare a fișierelor și domeniile recent înregistrate.
Surse:
https://www.linkedin.com/pulse/ru-apt-chainreaver-l-hijacks-trusted-sites-github-kghic
https://thehackernews.com/2025/12/new-macsync-macos-stealer-uses-signed.html