Недавно в официальном репозитории Microsoft Winget был обнаружен вредоносный форк популярной утилиты Zapret. Речь идет о проекте под названием Zapret 2 GUI (ID: loop-uh.Zapret2)(P.S. Сейчас вы его там уже не найдете).

Для тех, кто пропустил предысторию этого «чудо-софта», крайне рекомендую ознакомиться с разбором его «художеств» в этой статье. Если вкратце: под видом полезной утилиты пользователям скармливали стиллер, который устанавливал корневой сертификат (Root CA), перехватывал трафик и каждые 30 секунд сливал конфиденциальные данные в приватный Telegram-чат. А также можете посмотреть мой Issue на GitHub по теме этой программы.

Как это попало в Winget? К сожалению, автоматические проверки не всегда могут распознать сложный вредонос, особенно если он упакован или использует техники уклонения (Evasion). Заметив подозрительную активность пакета loop-uh.Zapret2, я незамедлительно поднял Issue в официальном репозитории microsoft/winget-pkgs Ссылка есть чуть выше.

В репорте были предоставлены неоспоримые доказательства: от логов установки левых сертификатов до конкретного разбора того, что делает это софтина и куда она что отправляет.

Итог: реакция модераторов (в частности, Stephen Gillie) не заставила себя ждать. После детального изучения предоставленных пруфов, вредоносный пакет был полностью удален из репозитория, а всё семейство подобных «форков» попало в черный список. По предварительным оценкам, это спасло от компрометации сотни тысяч, а возможно, и миллионы систем. Кстати, забавно, что автор (или не он) попытался через день добавить некий ZapretKVN запрос, на добавление которого был отклонен сами знаете по какой причине. (P.S Автор попытался вернуть свою программу loop-uh.Zapret2 В Winget. Я думаю, не нужно объяснять, что случилось)

Мой вам совет: никогда не доверяйте софту на 100%, даже если он находится в «доверенном» источнике.

1. Всегда проверяйте установщики на VirusTotal.

2. Используйте интерактивные песочницы (Hybrid Analysis, Triage, Any.Run) для анализа поведения файла в реальном времени.

3. Смотрите на отчеты MITRE ATT&CK. Если простой утилите внезапно требуется Impair Defenses или Input Capture — это огромный красный флаг.

Будьте бдительны. Безопасность — это не только антивирус, но и ваша внимательность.