Image by Xavier Cee, from Unsplash
Kampania Malware CastleLoader uderza w rząd USA i developerów
Przeczytasz w: 2 min
Ostatnia aktualizacja: Jul 29, 2025
-
![Kiara Fabbri]()
-
![Zespół ds. lokalizacji i tłumaczenia]()
Tłumaczenie Zespół ds. lokalizacji i tłumaczenia Usługi związane z tłumaczeniem i lokalizacją treści
Nowy i niebezpieczny malware o nazwie CastleLoader infekuje użytkowników za pośrednictwem fałszywych stron internetowych i repozytoriów GitHub.
W pośpiechu? Oto najważniejsze informacje:
- Szkodliwe oprogramowanie CastleLoader zainfekowało 469 urządzeń, w tym systemy rządowe USA.
- Szkodliwe oprogramowanie rozprzestrzenia się za pomocą fałszywych aktualizacji ClickFix i repozytoriów na GitHubie.
- Oszustwo na GitHubie zmusza programistów do pobierania złośliwych plików.
Od czasu swojego odkrycia na początku 2025 roku, CastleLoader zaraził co najmniej 469 urządzeń na całym świecie, w tym systemy rządu USA, jak pierwotnie zgłosiła firma zajmująca się cyberbezpieczeństwem PRODAFT.
Badacze tłumaczą, że CastleLoader działa jako platforma do dystrybucji złośliwego oprogramowania, która rozpowszechnia RedLine wraz ze StealC, DeerStealer, NetSupport RAT i HijackLoader.
Złośliwe programy umożliwiają atakującym kradzież haseł, ciasteczek oraz portfeli kryptowalut, zapewniając im jednocześnie zdalny dostęp do urządzeń ofiar.
Napastnicy korzystają z fałszywych stron phishingowych ClickFix, które naśladują prawdziwe źródła, takie jak Google Meet, aktualizacje przeglądarki i sprawdzanie dokumentów. Użytkownicy, którzy przestrzegają fałszywych instrukcji naprawy błędów na ekranie, ostatecznie uruchamiają złośliwe polecenia PowerShell, które bez ich wiedzy inicjują sekwencję infekcji.
„Castle Loader to nowe i aktywne zagrożenie, szybko przyjęte przez różne złośliwe kampanie w celu wdrożenia szeregu innych loaderów i kradzieży”, powiedział PRODAFT, jak donosi The Hacker News.
„Jego zaawansowane techniki przeciwdziałania analizie i wieloetapowy proces infekcji podkreślają jego skuteczność jako głównego mechanizmu dystrybucji w obecnym krajobrazie zagrożeń”, dodały badaczki.
CastleLoader rozprzestrzenia się również poprzez fałszywe repozytoria GitHub, które wydają się hostować zaufane narzędzia dla programistów. Te zwodnicze strony zmuszają użytkowników do instalacji złośliwego oprogramowania, wykorzystując zaufanie do platform takich jak GitHub.
Oprogramowanie szkodliwe korzysta również z fałszywych repozytoriów GitHub, które udają narzędzia dla programistów, aby rozprzestrzeniać swoje zakażenie. Użytkownicy, którzy odwiedzają te zwodnicze strony, kończą z instalacją malware, ponieważ ufają platformie GitHub.
Badacze identyfikują to oprogramowanie szkodliwe jako część szerszej operacji MaaS. Panel sterowania C2 zapewnia hakerom możliwości w czasie rzeczywistym do zarządzania zainfekowanymi systemami, przeprowadzania ataków i modyfikowania swoich kampanii.
„Ta technika wykorzystuje zaufanie programistów do GitHuba oraz ich skłonność do uruchamiania poleceń instalacyjnych z repozytoriów, które wydają się wiarygodne” – zauważył PRODAFT.
Przy stopie zakażeń na poziomie prawie 29%, eksperci ostrzegają użytkowników, aby unikali nieznanych stron z aktualizacjami i dokładnie sprawdzali wszystkie źródła oprogramowania.
Poprzedni artykuł
Najnowsze artykuły 
