
С февраля 2026 года Роскомнадзор ограничивает работу мессенджера Telegram на территории России. Пользователи пытаются обойти ограничения и ищут доступные способы на просторах интернета. Этим начали пользоваться злоумышленники. Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар», ведущего провайдера комплексной кибербезопасности в России, обнаружили в топе поисковой выдачи вредоносные клоны популярных прокси-сервисов. Причем размещены они как на официальной платформе для хостинга ИТ-проектов GitHub, так и на ее зеркалах.
Пытаясь обойти блокировку мессенджера, пользователи нередко ищут прокси-сервисы. Часто такой поиск начинается в браузере, и тут любителей Telegram ждет ловушка, связанная со спецификой работы поисковиков. В условиях действующих ограничений в РФ ссылки на оригинальные и валидные репозитории исключаются из поисковой выдачи Яндекса – на самом верху поиска образуется вакуум, который моментально заполняется свежими ссылками на вредоносные программы. За последнее время эксперты Solar 4RAYS обнаружили несколько очень схожих инцидентов запуска подобных вредоносных утилит, скачанных с GitHub под видом подлинного софта.
Опасность могут представлять и фальшивые репозитории с зеркал GitHub. Они максимально точно имитируют оригинальные проекты: мошенники полностью копируют раздел README.md настоящей программы, сохраняя оригинальную вёрстку и даже реквизиты для донатов настоящему автору. В данном случае злоумышленники эксплуатируют доверие авторитету GitHub: видя знакомое оформление, пользователи полагают, что скачиваемый код безопасен. Однако вместо подлинного файла может встретиться подмененный бинарник, например, Salat Stealer, Santa Stealer или любой другой вредоносный код. А Santa Stealer способен извлекать не только сессии браузеров, но и нужные файлы по заданным расширениям. Эксперты Solar 4RAYS предупреждают: даже если ссылка выглядит предельно похожей на оригинал, при скачивании со сторонних платформ уровень опасности максимален.
Читать далее
Источник: habr.com