WebRAT惡意軟件目前正通過GitHub代碼倉庫進(jìn)行傳播，這些倉庫謊稱存放著近期披露漏洞的概念驗證（PoC）利用程序。

這款兼具后門功能與信息竊取能力的惡意軟件于2025年年初出現(xiàn)，此前的傳播渠道為盜版軟件，以及《羅布樂思》《反恐精英》《腐蝕》等游戲的作弊程序。

據(jù)報告顯示，WebRAT能夠竊取Steam、Discord、Telegram等平臺的賬戶憑證，以及加密貨幣錢包數(shù)據(jù)，同時還可通過攝像頭監(jiān)視受害者，并截取設(shè)備屏幕畫面。

至少從去年9月起，該惡意軟件的運(yùn)營者開始借助精心構(gòu)造的GitHub代碼倉庫投放病毒，這些倉庫宣稱提供多款曾被媒體報道的漏洞利用程序，涉及的漏洞包括：

-CVE-2025-59295：Windows系統(tǒng)MSHTML/IE組件中存在的堆緩沖區(qū)溢出漏洞，攻擊者可通過網(wǎng)絡(luò)發(fā)送特制數(shù)據(jù)，實現(xiàn)任意代碼執(zhí)行。

-CVE-2025-10294：WordPress無密碼登錄插件OwnID中的高危身份認(rèn)證繞過漏洞。由于對共享密鑰的驗證機(jī)制存在缺陷，未授權(quán)攻擊者無需憑證即可登錄任意用戶賬戶，包括管理員賬戶。

-CVE-2025-59230：Windows遠(yuǎn)程訪問連接管理器（RasMan）服務(wù)中的權(quán)限提升漏洞。本地已認(rèn)證攻擊者可利用該服務(wù)的訪問控制缺陷，在受影響的Windows設(shè)備上將自身權(quán)限提升至系統(tǒng)權(quán)限（SYSTEM）。

卡巴斯基實驗室的安全研究人員共發(fā)現(xiàn)15個傳播WebRAT的惡意代碼倉庫，這些倉庫均包含漏洞相關(guān)說明、所謂利用程序的功能介紹，以及對應(yīng)的緩解措施。

從內(nèi)容的行文結(jié)構(gòu)判斷，卡巴斯基認(rèn)為這些文本由人工智能模型生成。

惡意倉庫中的漏洞描述

該惡意軟件具備多種持久化駐留手段，包括修改Windows注冊表、創(chuàng)建計劃任務(wù)，以及將自身注入隨機(jī)的系統(tǒng)目錄中。

研究人員指出，這些偽造的漏洞利用程序以加密壓縮包形式分發(fā)，壓縮包內(nèi)包含四類文件：文件名即為解壓密碼的空文件、用作偽裝的損壞誘餌動態(tài)鏈接庫文件、攻擊執(zhí)行鏈中所需的批處理文件，以及名rasmanesc.exe的主投放器程序。

檔案內(nèi)容

分析顯示，這款投放器會先提升自身權(quán)限、禁用Windows Defender殺毒軟件，再從硬編碼的網(wǎng)絡(luò)地址下載并執(zhí)行WebRAT惡意軟件。

卡巴斯基強(qiáng)調(diào)，此次攻擊活動中使用的WebRAT變種，與此前已被記錄的樣本并無差異，具備的功能也與過往報告描述一致。

WebRAT的運(yùn)營概述

利用GitHub上的偽造漏洞利用程序誘騙不明真相的用戶安裝惡意軟件，并非新出現(xiàn)的攻擊手段，相關(guān)案例在過去已有大量記載。就在近期，威脅者還曾通過在GitHub上推廣偽造的LDAPNightmare漏洞利用程序，傳播信息竊取類惡意軟件。

目前，卡巴斯基發(fā)現(xiàn)的所有與本次WebRAT攻擊活動相關(guān)的惡意GitHub代碼倉庫均已被移除。但開發(fā)者及網(wǎng)絡(luò)安全愛好者仍需警惕所使用資源的來源，因為威脅者可能會更換發(fā)布者名稱，再次上傳新的誘餌倉庫。因此人們在測試來自非可信來源的漏洞利用程序或代碼時，務(wù)必在可控的隔離環(huán)境中運(yùn)行。

參考及來源：https://www.bleepingcomputer.com/news/security/webrat-malware-spread-via-fake-vulnerability-exploits-on-github/