Vírusokkal szórták meg a GitHubot
Nehezen megállíthatónak tűnik a tavaly indult támadássorozat, melynek során népszerű GitHub repository-k kártékony kódot tartalmazó klónjait terjesztik a kiberbűnözők.
Milliónyi fejlesztőt és felhasználót érintő támadássorozat alatt áll a GitHub fejlesztői kollaborációs platform az Apiiro biztonsági cég szakértői szerint, az eddigi vizsgálatok alapján több mint 100 ezer projektet veszélyeztethetnek a rosszindulatú felek. Az elkövetők többrétegű obfuszkációs technikát alkalmaznak: klónozzák a legitim repository-kat, és azokat kártékony kódokkal kiegészítve ismét feltöltik és elérhetővé teszik a platformon szinte megegyező néven, majd különféle social engineering módszerekkel próbálnak minél több felhasználót rávenni a letöltésre.
A manipulált adattárak letöltése után az elhelyezett malware-ek potenciálisan kompromittálhatják a felhasználók eszközét. A szakértők szerint az elkövetők a BlackCap-Grabber módosított változatát használják, ami különböző alkalmazások bejelentkezési adatait, jelszavakat és cookie-kat, valamint egyéb bizalmas adatokat képes begyűjteni.
A jelentés több tényezőre is rávilágít a GitHub sebezhetőségével kapcsolatban, és kiemeli, hogy a platform könnyű kezelhetősége, a könnyen elérhető API-k és a számos rejtett adattár jelenléte ideális környezetet teremt a támadók számára az úgynevezett watering hole támadások indításához.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A "watering hole" támadásoknál a megcélzott személyek és vállalatok érdeklődési körébe tartozó és feltehetőleg gyakran felkeresett felületeket fertőzik meg a támadók, és az alkalomra várnak, hogy a gyanútlan áldozat felkeresse az általa megbízhatónak tartott weboldalt. Ez esetben a támadók a gyakran letöltött és népszerű repository-kba fecskendeztek rosszindulatú kódokat, amiknek az elérését a manipulált forkok terjesztésével próbálták növelni többek közt a közösségi médián, online fórumokon és más csatornákon keresztül, így rávéve a felhasználókat a letöltésükre.
A szakértők bejelentése után a GitHub a legtöbb rosszindulatú kódot tartalmazó adattárat már eltávolította, de a jelek szerint a támadók továbbra is próbálkoznak, és aktívan használják a módszert. A művelet a jelek szerint 2023. május óta tart és azóta folyamatosan megfigyelhető a rosszindulatú aktivitás, korábban a Python Package Index (PyPI) felületén találtak kompromittált kódokat. A platform ezért óvatosságra inti a felhasználókat, különösen az ismeretlen eredetű repository-k letöltését nem javasolja, érdemes meggyőződni előtte a kód forrásáról és legitimitásáról a projektekhez való felhasználás előtt.
A GitHub szóvivője szerint a platformon már több mint 420 millió repository található, a visszaéléseket és spameket az automatizált módszerek mellett manuális felülvizsgálattal is próbálják szűrni. A szakértők szerint mivel a támadássorozat rendkívül kiterjedt és automatizált módon zajlik, ezért mértékéből adódóan akkor is ezres nagyságrendben sikerül áldozatokat szednie az elkövetőknek, ha csak a módosított csomagok egy százalékának sikerül túljutnia a szűrőkön.