【安全资讯】WebRAT恶意软件通过GitHub虚假漏洞利用代码传播

概要：

在网络安全领域，攻击者不断翻新其传播恶意软件的手段。近期，安全研究人员发现，具有信息窃取能力的WebRAT后门恶意软件正通过GitHub上伪装成漏洞利用概念验证（PoC）代码的虚假仓库进行传播。这种利用开发者社区信任的攻击方式，对全球软件开发者及安全研究人员构成了新的威胁。

主要内容：

WebRAT是一种年初出现的后门恶意软件，具备窃取Steam、Discord、Telegram账户凭据以及加密货币钱包数据的能力，甚至能通过摄像头监视受害者并截取屏幕。此前，它主要通过盗版软件和游戏作弊工具传播。

自九月起，攻击者开始精心制作GitHub仓库，声称提供近期被媒体报道的多个漏洞的利用代码，以此作为诱饵。这些虚假仓库涉及CVE-2025-59295（Windows MSHTML堆缓冲区溢出）、CVE-2025-10294（WordPress OwnID插件认证绕过）和CVE-2025-59230（Windows RasMan服务权限提升）等漏洞。卡巴斯基研究人员发现了15个此类仓库。

恶意载荷通过密码保护的ZIP文件分发，内含空文件、损坏的诱饵DLL、批处理文件以及名为rasmanesc.exe的主投放器。该投放器会提升权限、禁用Windows Defender，并从硬编码URL下载并执行WebRAT。恶意软件通过修改Windows注册表、任务计划程序及注入随机系统目录实现持久化。

尽管相关恶意仓库已被移除，但攻击者可能更换发布者名称卷土重来。安全专家建议，在测试来自不可信来源的代码时，务必在受控的隔离环境中进行，以防范此类钓鱼攻击。