Pobierasz pirackie programy z GitHub i serwisów mirror? Ten atak wykradnie wszystko, nawet portfele krypto, hasła i pliki osobiste

Jeśli kiedykolwiek korzystałeś z serwisów mirror do pobierania plików albo szukałeś cracków na GitHubie, masz problem. Badacze z irańskiej firmy GRAPH Inc. odkryli kampanię ataku supply chain o kryptonimie RU-APT-ChainReaver-L, która zhakowała dwa główne serwisy udostępniania plików, Mirrored.to i Mirrorace.org. Korzystają z nich tysiące stron pobierania na całym świecie. Do tego przejęto kontrolę nad 50 kontami GitHub, z których wiele miało wieloletnią historię.

Kampania ChainReaver pokazuje, że atakujący nie muszą już szukać luk w oprogramowaniu. Wystarczy zhakować zaufaną infrastrukturę i pozwolić użytkownikom samodzielnie zainstalować malware.

Archive.today zamienił użytkowników w nieświadomych hakerów. Wikipedia reaguje na atak DDoS

Mechanizm ataku wykorzystuje fakt, że Mirrored.to i Mirrorace.org działają jako pośrednicy między użytkownikami a hostingami plików. Gdy wchodzisz na stronę pobierania, zazwyczaj widzisz listę „luster”, czyli linków prowadzących do MediaFire, Dropbox czy Mega. Atakujący zmodyfikowali kod tych serwisów tak, że nowe, wyeksponowane wizualnie przyciski w stylu „Files DL” czy „Fast Download” prowadzą już nie do legalnych hostingów, ale do kontrolowanej przez nich infrastruktury. Stamtąd scenariusz rozgałęzia się w zależności od systemu operacyjnego. Użytkownicy Windows lądują na chmurowych hostingach z archiwami chronionymi hasłem, zawierającymi podpisane certyfikatami malware, a antywirus uznaje je za legalne. Jeśli używasz macOS, trafisz na stronę „ClickFix”, która instruuje, żebyś skopiował i uruchomił jedną komendę w terminalu. Wydaje się proste, ale w rzeczywistości uruchamiasz wieloetapowy payload, który pracuje bezpośrednio w pamięci, unikając wykrycia przez narzędzia bezpieczeństwa. Właściciele iPhone’ów są przekierowywani do fałszywej aplikacji VPN w App Store, która później uruchamia phishing i wyłudza dane dostępowe.

Certyfikaty UEFI Secure Boot na komputerach z Windows wygasają w czerwcu. Miliony PC wymagają aktualizacji

W przypadku GitHub sprawa wygląda jeszcze bardziej wyrafinowanie. Przejęto 50 kont użytkowników, większość z nich w listopadzie 2025 roku . Nie były to nowo założone profile, ale konta z długą historią, co nadawało im aurę wiarygodności. Każde z tych kont zostało przekształcone w repozytorium oferujące cracki czy narzędzia aktywacyjne do popularnego oprogramowania. README.md wyglądały profesjonalnie, zawierały fałszywe screenshoty z VirusTotal pokazujące, że plik jest czysty, a nawet sfabrykowane recenzje użytkowników. Kliknięcie linku pobierania prowadziło przez Google Sites, kolejną zaufaną platformę, a dopiero potem na finalną stronę z malware. Ten łańcuch przekierowań sprawia, że tradycyjne systemy wykrywania mają ogromny problem z identyfikacją zagrożenia, bo każdy etap wygląda jak legalny ruch w zaufanej infrastrukturze.

Aktualizacja pakietu opróżniła portfele kryptowalut. Giełda dYdX ostrzega użytkowników. Sprawdź, czy dotyczy to także Ciebie

Sam malware to infostealer nowej generacji. W przypadku Windows zbiera hasła z przeglądarek, bazy danych komunikatorów, portfele kryptowalutowe oraz kopiuje zawartość pulpitu, dokumentów i folderów z pobranymi plikami. Badacze GRAPH zaobserwowali, że próbki mają ważne certyfikaty podpisujące kod od kilku firm. To znacząco komplikuje wykrywanie, bo system operacyjny i oprogramowanie antywirusowe traktują je jako pochodzące od zweryfikowanego wydawcy. MacSync Stealer, wariant dla macOS, działa bezplikowo, czyli rezyduje w pamięci RAM i wyciąga dane z przeglądarek, Apple Notes, klucze SSH, kredencjale (dane uwierzytelniające) AWS, a nawet podrabia aplikacje portfeli Ledger i Trezor, żeby przechwycić frazy odzyskiwania i opróżnić konta kryptowalutowe. Skala jest trudna do precyzyjnego oszacowania, ale biorąc pod uwagę zasięg Mirrored.to i Mirrorace.org, czyli serwisów używanych przez setki stron pobierania na całym świecie, a także popularność zhakowanych repozytoriów GitHub, liczba ofiar sięga co najmniej dziesiątek, a prawdopodobnie setek tysięcy.

Grupa APT przejęła infrastrukturę hostingową Notepad++ i dystrybuowała złośliwe aktualizacje od czerwca 2025 roku

Kontekst branżowy jest jeszcze bardziej niepokojący. Według raportu Group-IB High-Tech Crime Trends 2026, ataki supply chain stały się dominującym zagrożeniem w globalnym cyberprzestępczości. W Polsce średnia liczba ataków cybernetycznych przekroczyła pod koniec 2025  roku 2300 tygodniowo, a ataki supply chain stanowią już 30 proc. wszystkich incydentów. Badania Flare ostrzegają, że jeśli obecny trend się utrzyma, co piąta infekcja infostealerem może ujawnić dane korporacyjne już w trzecim kwartale 2026 roku. To już nie są izolowane incydenty. To przemysłowa, skoordynowana operacja, w której atakujący wykorzystują zaufanie użytkowników do zaufanych platform zamiast szukać luk zero-day w systemach operacyjnych. Kampania ChainReaver pokazuje ewolucję w myśleniu cyberprzestępców. Po co łamać zabezpieczenia, skoro można zhakować serwis, któremu wszyscy ufają, i pozwolić ofiarom samodzielnie zainstalować malware? Dla użytkowników oznacza to konieczność zupełnej zmiany podejścia. Nnie wystarczy już mieć aktualnego antywirusa, trzeba kwestionować sam proces pobierania i źródło każdego pliku. Dla administratorów IT to wezwanie do wdrożenia wielowarstwowych systemów EDR, które analizują nietypowe zachowania procesów, a nie tylko sygnatury znanego złośliwego oprogramowania. A dla branży jako całości? To kolejny dowód, że w erze ataków supply chain bezpieczeństwo przestało być kwestią pojedynczych systemów. Teraz musimy zabezpieczać całe ekosystemy zaufania.

Źródło: GRAPH Inc., Cryptika, GBHackers, Group-IB, Cyberpress, Cybersecurity News, Microsoft Security Blog