Negli ultimi mesi, esperti di sicurezza informatica hanno lanciato un allerta riguardo a Webrat, un malware che ha trovato una nuova e insidiosa modalità di diffusione. I cybercriminali hanno scelto di sfruttare la popolare piattaforma di condivisione di codice GitHub, attirando ignari sviluppatori e neofiti della programmazione.
La scoperta di Webrat
Il malware Webrat è stato identificato per la prima volta all’inizio di giugno, inizialmente distribuito attraverso software pirata e trucchi per giochi famosi come Roblox, Rust e Counter-Strike. Tuttavia, a partire da settembre, i criminali informatici hanno ampliato le loro operazioni, nascondendo il malware in ben 15 repository su GitHub, dove sono stati caricati file contenenti exploit per tre vulnerabilità specifiche.
Le vulnerabilità sfruttate
Le vulnerabilità sfruttate per diffondere Webrat comprendono due problematiche legate a Windows, identificate come CVE-2025-59295 e CVE-2025-59230, oltre a una vulnerabilità relativa al plugin OwnID Passwordless Login per WordPress, denominata CVE-2025-10294.
I file malevoli erano presentati in archivi ZIP protetti da password, rendendo difficile l’individuazione per gli utenti meno esperti.
Come funziona il malware
Una volta estratti, i file contenevano una DLL apparentemente innocua, un eseguibile e un file batch capace di avviare l’eseguibile. Quest’ultimo fungeva da dropper, elevando i privilegi, disattivando Windows Defender e scaricando il malware Webrat da un dominio russo. Questo malware presenta diverse funzionalità pericolose, tra cui la capacità di raccogliere informazioni sensibili.
Le funzioni pericolose di Webrat
Webrat è in grado di agire come infostealer, spyware e backdoor, rubando dati da applicazioni come Telegram, Discord, Steam e portafogli di criptovalute. Inoltre, può catturare screenshot, attivare il microfono e la webcam, registrare le sequenze di tasti e fornire accesso remoto al dispositivo colpito.
La diffusione di questo malware tra studenti e sviluppatori inesperti desta preoccupazione.
Le misure di protezione
Fortunatamente, i ricercatori di Kaspersky hanno esaminato questi exploit in ambienti controllati, prevenendo l’accesso di Webrat a informazioni sensibili, microfono e webcam. Tutti i repository compromessi sono stati rimossi da GitHub, ma è fondamentale che gli utenti rimangano vigili e adottino misure di protezione adeguate.
L’emergere di Webrat attraverso GitHub rappresenta un chiaro segnale della necessità di una maggiore consapevolezza sulla sicurezza informatica. Gli sviluppatori, in particolare quelli alle prime armi, devono prestare attenzione ai file che scaricano e assicurarsi di utilizzare solo fonti affidabili per evitare di diventare vittime di attacchi.
