Более 100 тысяч зараженных репозиториев на GitHub маскируются под обычные проекты
04/03/24
Исследователи из компании Apiiro провели расследование масштабной кампании атак на платформу GitHub с использованием вредоносных репозиториев. Эксперты выявили более 100 тысяч поддельных репозиториев, подражающих под популярным open-source проектам с целью распространения вредоносного ПО. Количество подобных репозиториев продолжает неуклонно расти.
Как пояснили специалисты, хакеры активно используют тактику подмены названий реальных проектов, пишет Securitylab. Они создают репозиторий, идентичный популярному проекту на GitHub, с максимально похожим названием. Злоумышленники рассчитывают, что пользователь сделает опечатку во время ввода названия и загрузит заражённый код. Подобный метод часто применяется в работе с менеджерами пакетов, где командная строка оставляет меньше возможностей для своевременного распознавания ошибки.
Для реализации атаки злоумышленники клонируют целевой репозиторий, инъецируют его вредоносным кодом и повторно публикуют под оригинальным названием. Затем начинается этап продвижения таких репозиториев через различные каналы в интернете, включая форумы и социальные сети, где они выдаются за настоящие. Автоматизация процесса позволяет масштабировать распространение зараженных проектов.
Вредоносный код на компьютере жертве обычно начинает фоновую загрузку стороннего софта. Отмечается, что чаще всего злоумышленники используют BlackCap Grabber — программа, которая крадет учетные данные, cookie и другую важную информацию, отправляя её на серверы злоумышленников.
GitHub принимает меры против так называемых fork-бомб, автоматически отслеживая и блокируя подозрительные репозитории с чрезмерным количеством копий. Несмотря на автоматизированное удаление миллионов подозрительных форков, приблизительно 1% зараженных копий все же умудряется оставаться на платформе.
Пользователям рекомендуется быть внимательными и проверять репозитории, с которыми они работают. Особенно это важно для компаний, чтобы предотвратить попадание вредоносного кода в свои системы и цепочку поставок программного обеспечения.