GitHub bị lợi dụng: Hàng trăm dự án giả mạo đang âm thầm đánh cắp dữ liệu người dùng

Tổng quan

Từ trước đến nay nền tảng Github vẫn được xem như là một phần không thể thiếu trong hệ sinh thái phát triển phần mềm toàn cầu. Hàng triệu lập trình viên sử dụng nền tảng này để chia sẻ dự án, cộng tác phát triển và phân phối công cụ mã nguồn mở. Tuy nhiên, chính sự phổ biến và mức độ tin cậy cao của GitHub cũng khiến nó trở thành mục tiêu hấp dẫn đối với các nhóm tấn công mạng.

Tháng 03 năm 2026 vừa qua thì các chuyên gia của Trend Micro đã phát hiện chiến dịch malware mới mang tên BoryptGrab, phát tán qua hàng trăm GitHub repository công khai giả mạo các công cụ phần mềm miễn phí và game cheat. Chiến dịch sử dụng SEO keywords để tăng thứ hạng tìm kiếm, dẫn nạn nhân đến trang download giả mạo GitHub Pages để tải ZIP chứa mã độc.

Theo các báo cáo điều tra, hơn 100 repository độc hại đã được sử dụng trong chiến dịch này, cho thấy mức độ tổ chức và quy mô đáng kể của hoạt động. Malware BoryptGrab chủ yếu tập trung vào việc đánh cắp dữ liệu quan trọng như thông tin đăng nhập trình duyệt, cookie phiên làm việc, dữ liệu hệ thống và thậm chí cả thông tin ví tiền điện tử. Trong một số trường hợp, mã độc còn triển khai thêm các cơ chế truy cập từ xa nhằm duy trì quyền kiểm soát lâu dài đối với thiết bị nạn nhân.

Nguyên nhân của chiến dịch

Người dùng tin rằng repository trên GitHub là đáng tin cậy.

Attacker tối ưu README để repository xuất hiện trên Google.

GitHub cho phép tạo repository nhanh và public.

Người dùng tải và chạy file executable từ nguồn không xác minh.

Ảnh hưởng ban đầu

• Thông tin đăng nhập và mật khẩu lưu trong trình duyệt.

• Cookie phiên làm việc cho các dịch vụ trực tuyến.

• Dữ liệu ví tiền điện tử.

• Thông tin hệ thống và cấu hình thiết bị.

Việc đánh cắp các dữ liệu này có thể dẫn đến chiếm quyền tài khoản, gian lận tài chính hoặc truy cập trái phép vào các hệ thống trực tuyến.

Luồng tấn công

Thông thường người dùng thường sẽ hay tìm kiếm trên Google các từ khóa như: free software download, game cheat / FPS booster hay cracked software. Nắm bắt được điều đó mà Attacker đã tạo hơn 100 GitHub repository với README chứa nhiều từ khóa SEO để xuất hiện ở vị trí cao trong kết quả tìm kiếm.

Đơn giản có một số công cụ đã bị giả mạo mà kẻ tấn công hay dùng như: Voicemod Pro, Filmora crack, Valorant FPS booster, CS2 skin changer.

Sau khi nạn nhân thực hiện truy cập repository sẽ thấy một phần README mô tả chi tiết cũng như hướng dẫn download và link “Download latest release”. Tuy nhiên những repository này thường không chứa mã nguồn thực mà chỉ có liên kết tải xuống.

Sau khi nhấn download, nạn nhân sẽ không tải file trực tiếp mà thay vào đó bị chuyển qua nhiều bước redirect khác nhau, mỗi bước đều là những bàn đạp hoàn hảo trong một chuỗi tấn công tinh vi.

Các URL trong này đều sử dụng Base64 encoding và AES encrypted links nhằm che giấu nguồn Malware một cách hoàn hảo.

Điểm điều hướng cuối cùng là một trang Web sẽ chứa file Zip độc hại và được đặt tên giống tool thật để giảm nghi ngờ. Cấu trúc thông thường của các file Zip này sẽ chứa các tệp độc hại con bên trong: tool.exe, libcurl.dll, launcher payload hoặc stealer payload.

Sau khi hoàn tất tải xuống file Zip độc hại mà không có nghi ngờ nào thì người dùng sẽ bắt đầu quá trình tự mình thực thi Malware trên máy cá nhân. Tại đây một DLL Sideloading sẽ được bắt đầu để kích hoạt cả quá trình "libcurl.dll".

DLL này sẽ giải mã payload bằng XOR + AES-CBC.

Bên cạnh dll độc hại trên thì một biến thể khác cũng được những kẻ tấn công sử dụng "VBS script"

Nó sẽ thực hiện chạy các Powershell Command nhằm mục đích tải Payload xuống máy nạn nhân. Bên cạnh đó là thêm Windows Defender exclusion để tránh bị phát hiện.

Trong quá trình phân tích hành vi các chuyên gia đã ghi nhận một bước rất quan trọng đó là quá trình kiểm tra của Stealer. Trước khi chạy nó sẽ thực hiện một loạt các hoạt động cụ thể: kiểm tra registry VM, kiểm tra sandbox environment cũng như kiểm tra path hệ thống. Tất cả quá trình này nhằm mục đích xem malware có đang chạy trong môi trường ảo hóa hay không? Nếu gặp môi trường ảo hóa nó sẽ dừng ngay lập tức và kết thúc vòng đời.

Sau khi chạy thành công BoryptGrab sẽ bắt đầu quá trình đánh cắp thông tin bắt đầu từ dữ liệu của các trình duyệt như: Chrome, Firefox, Edge, Brave, Opera. Tại đây kẻ tấn công sẽ nhắm đến password, cookie hay autofill data của nạn nhân - những thứ được xem là tài sản vàng trên trình duyệt. Không dừng lại ở đó malware còn bypass Chrome App-Bound Encryption để lấy credential được bảo vệ.

Ngoài dữ liệu trình duyệt, BoryptGrab có thể thu thập thông tin từ cả ứng dụng ví tiền điện tử như: Exodus, Electrum, Ledger hay Trezor trên máy tính để bàn và tiện ích mở rộng trình duyệt. BoryptGrab sau đó chụp ảnh màn hình và thu thập thông tin hệ thống.

Ngoài ra trong quá trình phân tích các chuyên gia cũng phát hiện thêm một số biến thể mới của BoryptGrab được sử dụng, đặc biệt phải kể đến "TunnesshClient backdoor" .

Backdoor này sẽ tạo một reverse SSH tunnel và hoạt động như SOCKS5 proxy từ đó cho phép kẻ tấn công thực hiện truy cập từ xa vào hệ thống mục tiêu.

Toàn bộ dữ liệu được thu thập sẽ được gửi về máy chủ C2: 193.143.1.104 của kẻ tấn công qua Port 5000 với giao thức HTTP POST.

Kết luận

Chiến dịch BoryptGrab cho thấy xu hướng threat actor ngày càng lạm dụng nền tảng developer uy tín như GitHub để phát tán malware quy mô lớn. Với hàng trăm repository, nhiều build variant và payload đa dạng (stealer + backdoor + Vidar), đây là chiến dịch đang hoạt động tích cực. Người dùng cần cực kỳ thận trọng khi download phần mềm "miễn phí" từ GitHub, đặc biệt là các tool crack/cheat game.

Khuyến nghị

Kiểm tra độ tin cậy của repository trước khi tải

• Không nên tải và chạy phần mềm ngay lập tức từ các repository lạ. Người dùng nên:

  • Kiểm tra số lượng sao (stars), forks và contributor của dự án

  • Xem lịch sử commit để đánh giá mức độ hoạt động của repository

  • Kiểm tra tài khoản của người tạo repository (account mới tạo có thể đáng nghi)

  • Đọc phần Issues và Discussions để xem phản hồi từ cộng đồng

• Các repository độc hại thường có lịch sử commit rất ngắn hoặc chỉ chứa vài file đơn giản.

Không chạy trực tiếp file thực thi tải từ Internet

• Nhiều malware được phân phối dưới dạng:

  • file .exe

  • file .bat

  • file .ps1

  • file .scr

  • file .msi

  Người dùng nên:

  • Quét file bằng phần mềm antivirus

  • Kiểm tra chữ ký số (digital signature) của file

  • Tránh chạy file ngay sau khi giải nén

Phân tích mã nguồn trước khi sử dụng

• Đối với các dự án mã nguồn mở, nên:

  • đọc file README và source code

  • kiểm tra script cài đặt (install.sh, setup.ps1, build scripts)

  • chú ý các đoạn code tải file từ URL bên ngoài

Bảo vệ dữ liệu trình duyệt và tài khoản

• Các infostealer như BoryptGrab thường nhắm vào credential lưu trong trình duyệt. Vì vậy người dùng nên:

  • Sử dụng password manager chuyên dụng thay vì lưu mật khẩu trực tiếp trong browser

  • Bật xác thực đa yếu tố (MFA) cho các tài khoản quan trọng

  • Thường xuyên kiểm tra hoạt động đăng nhập bất thường

Cập nhật hệ thống và phần mềm bảo mật

• Luôn đảm bảo rằng:

  • Hệ điều hành được cập nhật bản vá mới nhất

  • Phần mềm antivirus/endpoint protection hoạt động đầy đủ

  • Bật tính năng real-time protection

Mapping MITRE ATT&CK

Phase	Technique	ID
Initial Access	Search engine poisoning / user download	T1189
Resource Development	Create malicious infrastructure	T1583
Execution	User execution	T1204
Execution	PowerShell	T1059.001
Execution	VBS script	T1059
Defense Evasion	DLL sideloading	T1574.002
Defense Evasion	Modify Defender exclusions	T1562
Discovery	System information discovery	T1082
Credential Access	Credential dumping (browser)	T1555
Collection	Data from local system	T1005
Command & Control	Reverse SSH tunnel	T1090
Exfiltration	Exfiltration over C2	T1041

IOCs

File Hash

• fa767391b99865f8533efc1fe6dfa6175215718679fb00ca85fc13c3bd4ae4b7

• d295720bc0c1111ce1c3d8b1bc1b36ba840f103b3ca7e95a5a8bf03e2cc44fe5

• 1bd605ef84b6767df74bd6290f1468eed5a88264df23fcf70b6a75d5bdcf7d76

• 15de71073f44c657c23f5f97caa11f1b12e654d4d17684bfc628cc1e5b6bcdd5

• 4e90d386c1c7d3d1fd4176975795a2f432d95685690778e09313b4a1dbab9997

• 4264a88035aa0b63e9aef96daa78a58114d60a344ea10168a8ef5ef36bf8edbd

• 433a13cc70396f80dc29d1150c050339d78964fdc91bcdc3f40c67a77add1476

• 7f2315b89fb9a47e1516def136844d617bfcdce19000a1b0436706692dbe166c

• 449f528f5ceae8c3f8336d0d8e3e3ec9031d1ad67c31ee7311b67e01d5fdf225

• c40b9913e79c5dd09751b1afb03aaa98658bab61bacf27a299abd84fd44fe707

• 2abe0ef88ba92db79d82cde4c0ed1f382bb347517a54ea82084c841d0f955518

• 2050468744e44554fac17fb83f1515c95f2f2236716e2b5267a81c2b94205e6a

• fe4e5fb28d2c2b3a640112b6b125ce8c4afa8be28342e3bfda097ad9dd2ef9ee

• ed1745cc49b929e499966d87e163219fe0f24069fe88dfacbd69c0ebab85a640

• 576692df4bf1c7d8927d3a183f5219a81c3bff3dd22971691f8af6889f80c5a0

• 0434437a073a3f3a49e84d5ecb20c99dd551bacc32bf100fbb8cf67a50642181

URL

• hxxps://github[.]com/Voicemod-Pro-Download-Tool

• hxxps://voicemod-pro-download-tool.github[.]io/.github/

• hxxps://github[.]com/Voicemod-Pro-Download-Tool/.github

• hxxps://kiamatka[.]com/kaiok.kakman

• hxxps://best-tinted[.]com/github-download.html

• hxxps://github[.]com/PassFab-4WinKey-Windows-Password-Reset

• hxxps://github[.]com/Yim-Mod-Menu/.github

• hxxps://github[.]com/Arena-Breakout-Infinite-ESP/.github

• hxxps://github[.]com/Graphic-Editor-Krita/.github

• hxxps://botshield[.]vu/kFcjld

• hxxps://botshield[.]vu/KKRkm9

C2

• 45.93.20[.]61

Tham khảo

1. Massive GitHub malware operation spreads BoryptGrab stealer

2. New BoryptGrab Stealer Targets Windows Users via Deceptive GitHub Pages | Trend Micro (US)

3. BoryptGrab Malware Exploits GitHub | Security News

4. BoryptGrab Stealer Spreads via Fake GitHub Repositories, Stealing Browser and Crypto Wallet Data | Cryptika Cybersecurity