Ponad 100 repozytoriów na GitHubie rozprowadza BoryptGrab – stealer z modułem reverse SSH (TunnesshClient)

Wprowadzenie do problemu / definicja luki

Kampania opisana przez Trend Micro pokazuje, jak łatwo przestępcy potrafią „zmonetyzować zaufanie” do popularnych platform deweloperskich: tworzą dziesiątki (a tu: ponad 100) publicznych repozytoriów na GitHubie, pozycjonują je pod frazy „darmowych narzędzi”, a następnie podsuwają ofierze trojanizowane archiwa ZIP. Efektem jest infekcja systemu Windows stealerem BoryptGrab, który kradnie dane z przeglądarek i portfeli kryptowalutowych, a w części wariantów dołącza backdoora TunnesshClient zestawiającego reverse SSH tunnel.

To nie jest „luka” w GitHubie jako podatność – to nadużycie ekosystemu (open-source/hosting kodu) + SEO poisoning + socjotechnika.

W skrócie

• Wektor wejścia: fałszywe repozytoria i strony pobrań, podszywające się pod legalne narzędzia; pobranie ZIP rozpoczyna łańcuch infekcji.
• Cel: kradzież danych z przeglądarek (m.in. hasła), tokenów (np. Discord), plików, danych portfeli krypto oraz informacji systemowych.
• Technika: wiele wariantów i ścieżek uruchomienia (m.in. DLL sideloading, VBS, komponenty .NET, downloader w Go).
• Backdoor: TunnesshClient (PyInstaller) używa reverse SSH i potrafi działać jak SOCKS5 proxy oraz wykonywać polecenia/transfer plików.

Kontekst / historia / powiązania

Trend Micro wskazuje, iż część próbek/etapów łańcucha ma rosyjskojęzyczne komentarze i logi, a niektóre powiązane adresy IP są zlokalizowane w Rosji, co może sugerować pochodzenie operatorów (ostrożnie: to poszlaki, nie dowód).
Dodatkowo w kampanii obserwowano dostarczanie wariantów znanego stealera Vidar (z obfuskacją), co sugeruje podejście „modułowe”: jeden ekosystem dystrybucji, wiele możliwych ładunków.

Analiza techniczna / szczegóły luki

1) Dystrybucja: „SEO-boosted GitHub”

Repozytoria wyglądają wiarygodnie (README z frazami SEO), by wyświetlać się wysoko w wyszukiwarce obok legalnych wyników. Ofiara trafia na stronę pobrania i ściąga ZIP inicjujący infekcję.

2) Różne ścieżki wykonania (multi-variant)

SecurityWeek streszcza ustalenia Trend Micro: w zależności od paczki widziano m.in.:

• DLL sideloading (wykorzystanie legalnie wyglądającego EXE z archiwum),
• skrypty VBS pobierające launcher,
• wykonanie przez .NET,
• downloader w Golang (HeaconLoad),
• oraz inne warianty łańcucha.

3) HeaconLoad (Golang): persystencja i „beaconing”

HeaconLoad potrafi uzyskać trwałość przez wpis w kluczu Run oraz zadanie Harmonogramu Zadań. Następnie wysyła „beacon” HTTP POST (m.in. na ścieżkę typu ...:8088/healthcheck) wraz z informacjami systemowymi i „build tagiem” (Trend Micro wymienia przykłady tagów jak sonic, shrek, yaropolk itd.).

4) BoryptGrab: kradzież danych z przeglądarek i portfeli

BoryptGrab to stealer (C/C++) z mechanizmami anti-analysis (m.in. anty-VM) i próbą uruchomienia z podniesionymi uprawnieniami. Kradnie dane z wielu przeglądarek (lista obejmuje m.in. Chrome, Edge, Brave, Firefox, Opera, Vivaldi, Yandex).

Istotny detal: malware wykorzystuje techniki związane z Chrome App-Bound Encryption i (wg Trend Micro) zawiera kod inspirowany publicznymi repozytoriami służącymi do obejścia/odszyfrowania tych mechanizmów.
Dodatkowo potrafi pobrać pomocniczy komponent („Chromium helper”) do zbierania danych z przeglądarek.

5) TunnesshClient: reverse SSH jako kanał C2 i proxy

TunnesshClient (PyInstaller) realizuje reverse SSH tunnel. Najpierw pobiera dane dostępowe przez HTTP POST do endpointów typu /api/get_challenge i /api/get_credentials, rozwiązuje challenge (SHA-256), odszyfrowuje odpowiedź i dopiero wtedy zestawia tunel.
Wśród funkcji: SOCKS5 proxy, wykonywanie poleceń shell, listowanie/wyszukiwanie plików, upload/download oraz wysyłka całych folderów w ZIP (base64).

Praktyczne konsekwencje / ryzyko

• Przejęcie kont: kradzież haseł/cookies/tokenów z przeglądarek i komunikatorów (w tym wzmiankowane tokeny Discord) realnie skraca drogę do ataków typu account takeover.
• Straty finansowe: kampania celuje w portfele kryptowalutowe (aplikacje desktop i rozszerzenia przeglądarkowe).
• Ryzyko dalszej kompromitacji: TunnesshClient zapewnia kanał zdalnego sterowania i może działać jako proxy (pivot), co podnosi ryzyko ruchu lateralnego w sieci.
• Trudniejsze wykrywanie: duża liczba repozytoriów, zmienne warianty, różne ścieżki uruchomienia i etapowanie payloadów utrudniają proste blokady oparte wyłącznie o hash.

Rekomendacje operacyjne / co zrobić teraz

1. Ogranicz „shadow IT” instalacyjne

• W środowiskach firmowych rozważ allowlisting (np. AppLocker/WDAC) i blokadę uruchamiania binariów z katalogów typu %TEMP% oraz pobranych archiwów (mark-of-the-web). To często łamie łańcuch na wczesnym etapie.

2. EDR + detekcje na zachowania

• Szukaj sekwencji: pobranie ZIP → uruchomienie nietypowego loadera/skryptu → zrzut danych przeglądarki/portfeli → archiwizacja → exfiltracja.
• Monitoruj tworzenie zadań Harmonogramu i wpisów Run (w kontekście HeaconLoad).

3. Kontrola ruchu sieciowego i anomalii

• Alertuj na nietypowe POST-y do ścieżek „healthcheck”/API oraz długotrwałe połączenia tunelowe wskazujące na reverse SSH i ruch proxy (SOCKS5).

4. Bezpieczne pobieranie narzędzi

• Polityka: narzędzia tylko z oficjalnych stron producenta / zweryfikowanych release’ów, weryfikacja podpisów, sum kontrolnych, a w przypadku open-source – preferowanie oficjalnych organizacji GitHub + weryfikacja autora i historii repo.

5. Higiena kont i odzyskiwanie po incydencie

• Jeśli podejrzewasz infekcję: rotacja haseł, unieważnienie sesji, regeneracja tokenów, przegląd 2FA, kontrola portfeli krypto i ewentualna migracja środków na nowe seedy (w zależności od ekspozycji).

Różnice / porównania z innymi przypadkami

• BoryptGrab vs klasyczne stealery: funkcjonalnie przypomina rodzinę infostealerów (przeglądarki, portfele, screenshoty), ale wyróżnia się „pakietowaniem” kampanii – obok kradzieży danych może dowozić dodatkowe payloady, w tym backdoora reverse SSH.
• Powiązania z Vidar: Trend Micro opisuje pobieranie „custom build exe” będących wariantami Vidar z obfuskacją, co wskazuje na elastyczny model: jeden kanał dystrybucji, kilka rodzin malware w rotacji.
• Nadużycie zaufania do GitHuba: to trend rosnący – aktorzy nie muszą hostować malware na podejrzanych domenach, bo korzystają z reputacji platformy i „podpinają” ruch ofiar pod legalnie wyglądające zasoby.

Podsumowanie / najważniejsze wnioski

BoryptGrab to przykład dojrzałej, skalowanej kampanii, w której SEO poisoning + masowe repozytoria GitHub służą jako „fabryka” infekcji. Stealer kradnie szeroki zestaw danych (przeglądarki, portfele, pliki), a część wariantów dodaje TunnesshClient zapewniający zdalny dostęp przez reverse SSH i funkcje proxy. Obrona wymaga połączenia: polityk pobierania oprogramowania, twardej kontroli uruchamiania, detekcji behawioralnych i monitoringu ruchu tunelowego.

Źródła / bibliografia

• Trend Micro – analiza kampanii BoryptGrab i TunnesshClient (Mar 5, 2026). (www.trendmicro.com)
• SecurityWeek – podsumowanie ustaleń Trend Micro (Mar 7, 2026). (SecurityWeek)
• SC Media / SC World – brief o kampanii i celowaniu w portfele krypto (Mar 6, 2026). (SC Media)