Масштабная киберкампания FakeGit: как фальшивые чит-коды для Fortnite и Roblox опустошают кошельки геймеров
Эксперты по кибербезопасности раскрыли детали изощренной многомесячной операции FakeGit, в ходе которой популярная платформа с открытым кодом GitHub была превращена в рассадник опасного ПО. Злоумышленники разработали схему практически идеальной маскировки: на протяжении более года они использовали легитимную репутацию репозиториев для распространения стилера StealC, замаскированного под игровые модификации и софт для продуктивности.
По данным аналитика, публикующегося под ником «Kirk», с весны 2025 года инфраструктура преступников разрослась до внушительных масштабов. Было зафиксировано создание минимум 600 уникальных ZIP-архивов, распределенных по 47 аккаунтам. Даже на начало марта текущего года не менее двух десятков профилей продолжали функционировать, распространяя заразу. Особую опасность представляет тот факт, что жертвами становились не только рядовые пользователи, ищущие «халявные» читы для Roblox или Fortnite, но и корпоративные сотрудники, пытавшиеся установить пиратские плагины для бизнес-инструментов.
Приманки для пользователей были подобраны с высокой точностью. Вредоносные пакеты маскировались под популярнейшие расширения для таких сервисов, как Jira, Trello, Asana, Notion, Figma, Slack и Zoom. Однако основной трафик шел на геймеров: обещания «бесплатных читов» для Fortnite, Roblox, Counter-Strike 2 и Valorant работали безотказно. Внутри архивов находился многокомпонентный загрузчик на базе LuaJIT. Чтобы усыпить бдительность, киберпреступники автоматически генерировали правдоподобные описания репозиториев и вели все ссылки в README-файлах на единый источник загрузки. Жертву инструктировали активировать «режим разработчика» в браузере Chrome и загрузить содержимое папки как расширение, что давало вредоносу полный доступ к браузерным данным.
Финальной стадией заражения являлся запуск мощнейшего стилера StealC. Эта программа не просто крадет пароли — она проводит тотальную эксфильтрацию данных: вычищает cookies, историю браузеров (Chrome, Brave, Edge, Firefox), логины от почтовых клиентов (Outlook, FoxMail), данные игровых платформ (Steam) и FTP-клиентов (WinSCP). Более того, вредонос способен делать скриншоты рабочего стола и скачивать дополнительные модули для расширения функционала через системные утилиты PowerShell и msiexec, что фактически дает злоумышленникам полный контроль над машиной.
Уникальность операции FakeGit заключается в новаторском подходе к управлению бот-сетью. Чтобы избежать обнаружения и оперативно менять инфраструктуру, хакеры использовали технологию блокчейна. Вредоносная программа была запрограммирована не на статический адрес сервера управления (C2), а на считывание актуальных координат через смарт-контракты в сети Polygon. Загрузчик обращался к блокчейну, получал адрес, а затем догружал зашифрованные модули с GitHub, используя репозитории как «мертвые хранилища» (dead drop resolvers). Как только один сервер компрометировался, злоумышленники проводили транзакцию в блокчейне, мгновенно перенаправляя все зараженные машины на новую инфраструктуру. Аналитики подсчитали, что первая версия вредоносного контракта сменила более 50 различных C2-адресов, и оба поколения контрактов остаются активными до сих пор.
Расследование также выявило факты компрометации легитимных учетных записей. Злоумышленники взламывали аккаунты разработчиков и добавляли свои вредоносные репозитории к уже существующим, чистым проектам. Среди таких скомпрометированных профилей значатся MaybeDesxie7, ShifaIshfaque, Mahmudul-Riad, sherinshamr и SYS123232. Анализ кода показал, что для совершенно разных «приманок» (например, чит для Fortnite и плагин для Zoom) использовались одни и те же исполняемые модули, что с высокой долей вероятности указывает на одного оператора или хорошо скоординированную группу.
К марту 2026 года технологии маскировки достигли пика. Свежие версии Lua-компонентов перестали детектироваться антивирусными движками на VirusTotal, что говорит о высочайшем уровне обфускации. За время кампании эксперты насчитали 16 поколений запутывания кода. Ведущие вендоры антивирусов уже отреагировали: BitDefender детектирует угрозу как Gen:Heur.FakeGit.1, а ESET классифицирует скрипты как семейство Lua/Agent.
