WebRAT恶意软件借GitHub伪造漏洞利用程序传播

WebRAT是一款兼具后门与信息窃取能力的远程访问木马（RAT），于2025年年初出现。早期，它主要通过盗版软件以及《罗布乐思》（Roblox）、《反恐精英》（Counter-Strike）和《腐蚀》（Rust）等游戏的作弊程序进行传播。

2025年9月起，攻击者转变策略，开始利用GitHub代码仓库大规模投放该恶意软件。这些仓库伪装成近期高危漏洞的概念验证（PoC）利用程序，诱骗安全研究人员、开发者及网络安全爱好者下载。卡巴斯基实验室共发现至少15个此类恶意仓库，目前均已被GitHub移除。

Fake Security Researcher GitHub Repositories Deliver Malicious Implant Blog - VulnCheck | Blog | VulnCheck

GitHub假仓库示例（类似攻击者使用的伪造PoC仓库界面，常包含专业README和下载链接）。

涉及的伪造漏洞利用程序

这些仓库重点伪造了以下高危漏洞的PoC，描述详细且包含缓解措施建议。卡巴斯基研究人员判断，仓库中的文本很可能由人工智能模型生成，行文结构较为标准化。

• CVE-2025-59295：Windows系统MSHTML/IE组件中的堆缓冲区溢出漏洞。攻击者可通过网络发送特制数据，实现任意代码执行（CVSS 8.8）。
• CVE-2025-10294：WordPress无密码登录插件OwnID中的高危身份认证绕过漏洞。由于共享密钥验证机制存在缺陷，未授权攻击者无需凭证即可登录任意用户账户（包括管理员账户，CVSS 9.8）。
• CVE-2025-59230：Windows远程访问连接管理器（RasMan）服务中的权限提升漏洞。本地已认证攻击者可利用访问控制缺陷，将权限提升至系统级（SYSTEM，CVSS 7.8）。

仓库通常包含漏洞详细说明、所谓“利用程序”功能介绍，以及缓解措施，看似专业可靠。

Fake Security Researcher GitHub Repositories Deliver Malicious Implant Blog - VulnCheck | Blog | VulnCheck

假GitHub仓库用户界面示例（攻击者常使用类似布局伪装成安全研究项目）。

恶意软件功能与窃取能力

WebRAT具备强大功能，可窃取以下敏感信息：

• Steam、Discord、Telegram等平台的账户凭证；
• 加密货币钱包数据；
• 通过摄像头和麦克风进行监视；
• 屏幕截取、键盘记录等间谍行为。

其持久化机制包括修改Windows注册表、创建计划任务，以及将自身注入随机系统目录。

交付机制与感染流程

用户下载的“利用程序”以加密压缩包形式提供，解压密码为压缩包内一个空文件的文件名。压缩包内包含四类文件：

• 空文件（文件名即为密码）；
• 损坏的诱饵动态链接库（DLL）文件（用作伪装）；
• 批处理文件（.bat）；
• 主投放器程序rasmanesc.exe。

投放器运行后，会先提升自身权限、禁用Windows Defender，然后从硬编码的网络地址下载并执行真正的WebRAT恶意软件。此次行动中使用的WebRAT变种与此前样本功能一致。

Active malicious campaign with the RenEngine loader | Securelist

典型恶意软件交付链示意图（类似WebRAT等GitHub诱饵攻击的感染流程，包含下载、解压和执行阶段）。

运营概述与安全建议

利用GitHub伪造漏洞利用程序诱骗用户并非新手段，此前已有类似案例（如伪造LDAPNightmare漏洞的仓库传播信息窃取软件）。攻击者针对安全爱好者和初级研究人员，借助GitHub的信任度进行传播。

所有相关恶意仓库现已被移除，但威胁者可能更换账户名称再次上传新诱饵。强烈建议：

• 从可信来源获取漏洞利用代码或工具；
• 在虚拟机或隔离环境中测试任何非官方PoC；
• 保持Windows Defender等安全软件启用，并及时更新系统补丁。

通过这种方式，攻击者成功将GitHub这一开发者常用平台变成了恶意软件分发渠道。网络安全从业者需提高警惕，避免“下载即中招”。

优化后的文章长度适中、结构清晰、信息完整。如果您需要进一步调整语气（如更正式或更通俗）、添加具体数据、修改图片位置，或生成更多自定义插图，请随时告诉我！