«Группа Астра» обратила внимание на новую схему атак через поддельные страницы open source-проектов и бесплатных утилит. Поводом стал разбор Check Point Research: мошенники создавали сайты, похожие на официальные страницы популярных инструментов, а затем перенаправляли пользователей к вредоносной инфраструктуре.
В кампании упоминались поддельные страницы для Ghidra, dnSpy, ILSpy, SpiderFoot, grpcurl, MQTT Explorer и CrystalDiskMark. Часть доменов поднималась высоко в поисковой выдаче Google, поэтому пользователь мог принять подделку за настоящий сайт проекта.
Схема выглядела убедительно. Страницы сохраняли ссылки на реальные репозитории, но при этом загружали JavaScript-компонент через Amazon CloudFront. Первый клик по кнопке Download мог отправить пользователя не на официальный релиз, а в Traffic Distribution System — систему распределения трафика.
TDS проверяла IP-адрес, страну, браузер, признаки VPN, поведение клиента и частоту визитов. При повторном заходе сайт мог открыть обычную ссылку или предложить безвредное ПО, что усложняло анализ. Дальше цепочка расходилась: одни пользователи попадали на партнёрские загрузки и потенциально нежелательные приложения, другие получали вредоносные программы.
Руководитель продукта GitFlic Кирилл Довгаль считает такой сценарий тревожным сигналом для команд, которые привыкли доверять ссылкам на популярные open source-проекты. По его словам, злоумышленники бьют не по самому репозиторию, а по доверию к странице загрузки.
Эксперт рекомендует проверять источник загрузки, сверять релизы, теги, хэши и подписи файлов, а также не выполнять команды из сомнительных инструкций на внешних сайтах. Для компаний дополнительное значение имеют защищённые ветки, обязательное ревью, работа с релизами и тегами, а также проверки кода и зависимостей.
В «Группе Астра» отдельно отмечают, что суверенная инфраструктура и встроенные проверки не заменяют цифровую гигиену. Такие механизмы помогают разработчикам контролировать, где хранится код, как собираются артефакты и какие проверки проходят изменения до попадания в продукт.
