WebRAT恶意软件借GitHub伪造漏洞利用程序传播

WebRAT恶意软件目前正通过GitHub代码仓库进行传播，这些仓库谎称存放着近期披露漏洞的概念验证（PoC）利用程序。

这款兼具后门功能与信息窃取能力的恶意软件于2025年年初出现，此前的传播渠道为盗版软件，以及《罗布乐思》《反恐精英》《腐蚀》等游戏的作弊程序。

据报告显示，WebRAT能够窃取Steam、Discord、Telegram等平台的账户凭证，以及加密货币钱包数据，同时还可通过摄像头监视受害者，并截取设备屏幕画面。

至少从去年9月起，该恶意软件的运营者开始借助精心构造的GitHub代码仓库投放病毒，这些仓库宣称提供多款曾被媒体报道的漏洞利用程序，涉及的漏洞包括：

-CVE-2025-59295：Windows系统MSHTML/IE组件中存在的堆缓冲区溢出漏洞，攻击者可通过网络发送特制数据，实现任意代码执行。

-CVE-2025-10294：WordPress无密码登录插件OwnID中的高危身份认证绕过漏洞。由于对共享密钥的验证机制存在缺陷，未授权攻击者无需凭证即可登录任意用户账户，包括管理员账户。

-CVE-2025-59230：Windows远程访问连接管理器（RasMan）服务中的权限提升漏洞。本地已认证攻击者可利用该服务的访问控制缺陷，在受影响的Windows设备上将自身权限提升至系统权限（SYSTEM）。

卡巴斯基实验室的安全研究人员共发现15个传播WebRAT的恶意代码仓库，这些仓库均包含漏洞相关说明、所谓利用程序的功能介绍，以及对应的缓解措施。

从内容的行文结构判断，卡巴斯基认为这些文本由人工智能模型生成。

恶意仓库中的漏洞描述

该恶意软件具备多种持久化驻留手段，包括修改Windows注册表、创建计划任务，以及将自身注入随机的系统目录中。

研究人员指出，这些伪造的漏洞利用程序以加密压缩包形式分发，压缩包内包含四类文件：文件名即为解压密码的空文件、用作伪装的损坏诱饵动态链接库文件、攻击执行链中所需的批处理文件，以及名rasmanesc.exe的主投放器程序。

档案内容

分析显示，这款投放器会先提升自身权限、禁用Windows Defender杀毒软件，再从硬编码的网络地址下载并执行WebRAT恶意软件。

卡巴斯基强调，此次攻击活动中使用的WebRAT变种，与此前已被记录的样本并无差异，具备的功能也与过往报告描述一致。

WebRAT的运营概述

利用GitHub上的伪造漏洞利用程序诱骗不明真相的用户安装恶意软件，并非新出现的攻击手段，相关案例在过去已有大量记载。就在近期，威胁者还曾通过在GitHub上推广伪造的LDAPNightmare漏洞利用程序，传播信息窃取类恶意软件。

目前，卡巴斯基发现的所有与本次WebRAT攻击活动相关的恶意GitHub代码仓库均已被移除。但开发者及网络安全爱好者仍需警惕所使用资源的来源，因为威胁者可能会更换发布者名称，再次上传新的诱饵仓库。因此人们在测试来自非可信来源的漏洞利用程序或代码时，务必在可控的隔离环境中运行。

参考及来源：https://www.bleepingcomputer.com/news/security/webrat-malware-spread-via-fake-vulnerability-exploits-on-github/