Новый троян атакует проекты на C++ и C#: как Dr.Web защищает разработчиков
Специалисты антивирусной лаборатории «Доктор Веб» исследовали новую многофункциональную троянскую программу, нацеленную на разработчиков программного обеспечения. Вредонос заражает исполняемые файлы, компоненты среды разработки и проекты, созданные на языках C++ и C#.
Главная опасность трояна заключается в способности распространяться через цепочки поставок программного обеспечения. Зараженный проект может быть опубликован в открытом репозитории, передан другому разработчику или использован для сборки приложения. В результате вредоносный код способен попасть не только на компьютер автора проекта, но и на устройства других разработчиков и пользователей готового программного обеспечения.
Материал подготовлен на основании исследования специалистов антивирусной лаборатории «Доктор Веб».
Троян распространяется через зараженные программы и Python-файлы
Первые случаи активности вредоносной программы были зафиксированы в последнем квартале 2025 года. С момента появления троян продолжает изменяться и получает новые способы сокрытия и распространения.
Основными источниками заражения являются размещенные в интернете исполняемые файлы .exe и вредоносные Python-файлы. Атака развивается в несколько этапов: первоначальный загрузчик запускает следующую вредоносную программу, которая получает адрес управляющего сервера и устанавливает основной бэкдор.
Для получения адресов командно-управляющей инфраструктуры злоумышленники использовали публичные платформы, включая GitHub и Steam. На этих ресурсах размещались сведения, необходимые трояну для связи с управляющими серверами и загрузки следующих компонентов атаки.
Какие функции выполняет троян
Исследованная программа объединяет возможности сразу нескольких типов вредоносного ПО. После заражения компьютера она может действовать как стилер, клиппер, бэкдор, майнер и средство заражения новых файлов.
Кража паролей и пользовательских данных
Троян способен собирать конфиденциальную информацию, хранящуюся на зараженном устройстве.
В число потенциальных целей входят:
-
пароли и файлы cookie из популярных браузеров;
-
токены Discord;
-
данные Telegram Desktop;
-
файлы криптовалютного кошелька Exodus;
-
мнемонические фразы, используемые для восстановления доступа к криптокошельку.
Для получения данных из браузеров вредонос может использовать дополнительный компонент, который внедряется в браузер, считывает сохраненные пароли и записывает их в отдельные файлы.
В случае с кошельком Exodus троян способен подменить один из файлов приложения. После такой модификации мнемоническая фраза пользователя может быть отправлена на сервер злоумышленников.
Контроль буфера обмена
Встроенный клиппер отслеживает информацию, которую пользователь копирует в буфер обмена.
Вредоносная программа ищет данные банковских карт и адреса криптовалютных кошельков. Обнаруженные реквизиты могут быть переданы злоумышленникам, а адрес криптокошелька — заменен на подставной адрес, полученный с управляющего сервера.
Пользователь при этом может не заметить подмену и отправить криптовалюту не тому получателю.
Удаленное управление компьютером
Функции бэкдора позволяют операторам атаки удаленно управлять зараженной системой.
Злоумышленники могут:
-
загружать и запускать дополнительные файлы;
-
выполнять команды через командную строку Windows;
-
получать содержимое отдельных файлов;
-
просматривать каталоги компьютера;
-
запускать дополнительные вредоносные компоненты.
Таким образом, зараженный компьютер может использоваться не только для автоматического сбора информации, но и для проведения дальнейших атак.
Скрытая установка майнера
Троян также способен устанавливать программы для майнинга криптовалюты.
Майнер запускается после определенного периода бездействия пользователя. Это помогает вредоносной программе дольше оставаться незамеченной и использовать вычислительные ресурсы компьютера в моменты, когда владелец устройства не работает за ним.
В атаке применяются инструменты XMRig, T-Rex и TeamRedMiner с открытым исходным кодом.
Как троян заражает проекты Visual Studio
Ключевой особенностью угрозы является способность внедрять вредоносный код в файлы, связанные с разработкой программного обеспечения.
Троян ищет и модифицирует:
-
проекты Visual C++ с расширением .vcxproj;
-
проекты C# с расширением .csproj;
-
файлы настроек Visual Studio .suo;
-
исполняемые файлы .exe;
-
файл imgui_impl_win32.cpp библиотеки Dear ImGui;
-
файл winnetwk.h из состава Windows SDK.
После заражения такие файлы превращаются в новый источник распространения вредоносной программы.
Заражение проектов C++ и C#
В файлы проектов .vcxproj и .csproj троян добавляет команды, которые автоматически выполняются перед сборкой программы.
При открытии или компиляции зараженного проекта запускается вредоносный сценарий, после чего на компьютер загружаются дополнительные компоненты атаки.
Распространение может произойти, если разработчик передаст проект коллегам, разместит его в открытом доступе или опубликует исходный код в репозитории.
Модификация Dear ImGui
Файл imgui_impl_win32.cpp входит в состав популярной библиотеки Dear ImGui, используемой для создания графических интерфейсов приложений на C++.
Троян добавляет в этот файл вредоносную нагрузку и команду ее запуска. В результате приложения, собранные с использованием зараженного компонента, также могут содержать вредоносный код.
Заражение файлов Visual Studio
Файлы .suo используются Microsoft Visual Studio для хранения пользовательских настроек проектов.
Троян может заменить оригинальный файл зараженной версией. При открытии такого проекта в Visual Studio запускается команда, загружающая и выполняющая следующий компонент вредоносной программы.
Модификация Windows SDK
Вредонос также ищет файл winnetwk.h, входящий в состав Windows SDK и используемый программами для работы с сетевыми ресурсами.
После внедрения вредоносного кода приложения, собранные с использованием скомпрометированного файла, могут содержать механизм запуска следующей стадии атаки.
Почему атака на цепочку поставок особенно опасна
При обычном заражении последствия чаще всего ограничиваются одним компьютером или одной учетной записью. В данном случае под угрозой оказывается сам процесс разработки программного обеспечения.
Скомпрометированный компьютер разработчика может привести к заражению:
-
исходного кода и файлов проектов;
-
библиотек и компонентов Windows SDK;
-
собранных исполняемых файлов;
-
компьютеров других разработчиков;
-
устройств пользователей готового программного обеспечения.
Расчет злоумышленников строится на том, что разработчики будут передавать или публиковать зараженные проекты. Другие специалисты могут скачать, открыть, изменить или скомпилировать такой проект и тем самым запустить вредоносный код на своих компьютерах.
Обычные пользователи также могут столкнуться с угрозой при запуске зараженных приложений, созданных с помощью скомпрометированных инструментов разработки.
Как защититься от нового трояна
Чтобы снизить риск заражения, специалисты рекомендуют регулярно обновлять антивирусные базы и проверять все файлы, загружаемые из интернета.
Особое внимание следует уделять исполняемым файлам, Python-скриптам и проектам Visual Studio, полученным из сторонних или непроверенных источников.
Пользователи Dr.Web Security Space и Dr.Web Desktop Security Suite защищены от этой угрозы: троян определяется и удаляется антивирусными продуктами Dr.Web.
Зараженные файлы .vcxproj, .csproj и imgui_impl_win32.cpp поддерживают лечение — внедренный вредоносный код удаляется без удаления самих файлов.
Подробное описание этапов атаки, вредоносных компонентов и индикаторов компрометации представлено в полном исследовании антивирусной лаборатории «Доктор Веб».