WebRAT惡意軟件借GitHub偽造漏洞利用程序傳播

WebRAT惡意軟件目前正通過GitHub代碼倉庫進行傳播，這些倉庫謊稱存放著近期披露漏洞的概念驗證（PoC）利用程序。

這款兼具后門功能與信息竊取能力的惡意軟件于2025年年初出現，此前的傳播渠道為盜版軟件，以及《羅布樂思》《反恐精英》《腐蝕》等游戲的作弊程序。

據報告顯示，WebRAT能夠竊取Steam、Discord、Telegram等平臺的賬戶憑證，以及加密貨幣錢包數據，同時還可通過攝像頭監視受害者，并截取設備屏幕畫面。

至少從去年9月起，該惡意軟件的運營者開始借助精心構造的GitHub代碼倉庫投放病毒，這些倉庫宣稱提供多款曾被媒體報道的漏洞利用程序，涉及的漏洞包括：

-CVE-2025-59295：Windows系統MSHTML/IE組件中存在的堆緩沖區溢出漏洞，攻擊者可通過網絡發送特制數據，實現任意代碼執行。

-CVE-2025-10294：WordPress無密碼登錄插件OwnID中的高危身份認證繞過漏洞。由于對共享密鑰的驗證機制存在缺陷，未授權攻擊者無需憑證即可登錄任意用戶賬戶，包括管理員賬戶。

-CVE-2025-59230：Windows遠程訪問連接管理器（RasMan）服務中的權限提升漏洞。本地已認證攻擊者可利用該服務的訪問控制缺陷，在受影響的Windows設備上將自身權限提升至系統權限（SYSTEM）。

卡巴斯基實驗室的安全研究人員共發現15個傳播WebRAT的惡意代碼倉庫，這些倉庫均包含漏洞相關說明、所謂利用程序的功能介紹，以及對應的緩解措施。

從內容的行文結構判斷，卡巴斯基認為這些文本由人工智能模型生成。

惡意倉庫中的漏洞描述

該惡意軟件具備多種持久化駐留手段，包括修改Windows注冊表、創建計劃任務，以及將自身注入隨機的系統目錄中。

研究人員指出，這些偽造的漏洞利用程序以加密壓縮包形式分發，壓縮包內包含四類文件：文件名即為解壓密碼的空文件、用作偽裝的損壞誘餌動態鏈接庫文件、攻擊執行鏈中所需的批處理文件，以及名rasmanesc.exe的主投放器程序。

檔案內容

分析顯示，這款投放器會先提升自身權限、禁用Windows Defender殺毒軟件，再從硬編碼的網絡地址下載并執行WebRAT惡意軟件。

卡巴斯基強調，此次攻擊活動中使用的WebRAT變種，與此前已被記錄的樣本并無差異，具備的功能也與過往報告描述一致。

WebRAT的運營概述

利用GitHub上的偽造漏洞利用程序誘騙不明真相的用戶安裝惡意軟件，并非新出現的攻擊手段，相關案例在過去已有大量記載。就在近期，威脅者還曾通過在GitHub上推廣偽造的LDAPNightmare漏洞利用程序，傳播信息竊取類惡意軟件。

目前，卡巴斯基發現的所有與本次WebRAT攻擊活動相關的惡意GitHub代碼倉庫均已被移除。但開發者及網絡安全愛好者仍需警惕所使用資源的來源，因為威脅者可能會更換發布者名稱，再次上傳新的誘餌倉庫。因此人們在測試來自非可信來源的漏洞利用程序或代碼時，務必在可控的隔離環境中運行。

參考及來源：https://www.bleepingcomputer.com/news/security/webrat-malware-spread-via-fake-vulnerability-exploits-on-github/