Come gli hacker usano falsi siti di tool open source per dirottare clic e distribuire malware

Il Traffic Distribution System: filtraggio delle vittime di alto valore

Il TDS agisce come un sofisticato guardiano, non come un semplice reindirizzamento. L'analisi di Check Point rivela che applica molteplici strati di controlli anti-analisi per separare gli utenti reali dai ricercatori di sicurezza, dagli ambienti sandbox e dai crawler automatici. Solo chi supera questi controlli viene instradato verso i payload malevoli finali .

Questa distribuzione selettiva rende la campagna molto più difficile da mappare e aumenta il valore di ogni singola infezione riuscita per i criminali. Per eludere ulteriormente il rilevamento, il sistema utilizza tecniche come chiavi per-sessione e rilasci di chiavi monouso .

Il trio di malware: RemusStealer, AnimateClipper e SessionGate

La campagna è stata osservata mentre distribuiva tre famiglie di malware distinte, ciascuna con un diverso scopo di monetizzazione.

• RemusStealer: Si tratta di un infostealer in vendita come servizio (Malware-as-a-Service, MaaS), commercializzato a un prezzo compreso tra i 250 e i 500 dollari. Prende di mira una vastissima gamma di dati sensibili, tra cui credenziali da oltre 20 browser, dati da più di 220 estensioni per portafogli di criptovalute, password manager e strumenti di autenticazione a due fattori (2FA) .
• AnimateClipper: Un clipper di criptovalute progettato per dirottare le transazioni in tempo reale, sostituendo l'indirizzo del portafoglio che un utente copia con uno controllato dall'aggressore. È in grado di monitorare e intercettare transazioni su oltre 20 diversi ecosistemi blockchain .
• SessionGate: Questo framework, precedentemente sconosciuto, è un loader multi-stadio che utilizza una pesante offuscazione del codice e controlli anti-analisi approfonditi per distribuire applicazioni potenzialmente indesiderate (PUA) o altri payload. Nelle catene d'attacco osservate, funge da punto d'appoggio iniziale e caricatore .

Un'operazione globale e di lunga durata

La portata di questa campagna è significativa. Secondo il report di Check Point, l'ecosistema è attivo dalla fine del 2025 e ha generato oltre 5.000 invii a VirusTotal, indicando un ampio bacino di vittime. Le aree geografiche più colpite sono Turchia, Polonia, Brasile, Germania, Francia, Russia e Regno Unito, ma l'attività è globale .

Per sviluppatori e professionisti della sicurezza, il messaggio è chiaro e urgente: l'epoca in cui si poteva scaricare distrattamente un software da un risultato di ricerca è finita. È indispensabile verificare di trovarsi sul repository ufficiale del progetto, visitare direttamente la pagina GitHub o GitLab conosciuta e insospettirsi di qualsiasi download che non fornisca immediatamente il file previsto. La professionalità con cui sono realizzati questi siti falsi rende la sola ispezione visiva una difesa del tutto insufficiente contro un ecosistema costruito sulla fiducia rubata e sull'inganno automatizzato.