12/04/24
Злоумышленники начали использовать функцию поиска на GitHub для обмана пользователей, которые ищут популярные репозитории, заставляя их скачивать поддельные пакеты, содержащие вредоносное ПО.
О последнем нападении на цепочку поставок открытого программного обеспечения сообщила компания Checkmarx, отмечая, что зловредный код скрывается в файлах проектов Microsoft Visual Code и предназначен для загрузки последующих этапов вредоносных программ с удалённых URL, пишет Securitylab.
Согласно исследователю безопасности Йехуде Гельбу, преступники создают вредоносные репозитории с популярными названиями и темами, используя автоматизированные обновления и фальшивые звёзды (местный критерий качества) для повышения их рейтинга в поиске, вводя пользователей в заблуждение. Это действие придаёт незаконным репозиториям видимость легитимности, обманывая разработчиков и заставляя их произвести загрузку.
Эксперты Checkmarx быстро нашли в даркнете услуги по накрутке вышеупомянутых звёзд за деньги. В предыдущих мошеннических кампаниях злоумышленники добавляли сотни или тысячи звёзд к своим репозиториям, но в недавних атаках они выбрали более скромное число звёзд, вероятно, чтобы не вызвать подозрений или банально сэкономить.
Многие из поддельных репозиториев маскируются под легитимные проекты, связанные с популярными играми и инструментами, усложняя их отличие от безопасного кода.
Также специалистами наблюдалось, что некоторые репозитории загружают зашифрованный файл «.7z» с исполняемым файлом «feedbackAPI.exe», размером 750 МБ. Столь большой размер, вероятно, обусловлен мерами обода антивирусной проверки.
В конечном итоге запускается вредоносное ПО, которое заменяет адреса кошельков криптовалют, скопированные в буфер обмена, на адреса, контролируемые атакующими. По информации Checkmarx, данный зловредный софт имеет некоторые схожести с известным клиппером Keyzetsu, однако не является таковым на сто процентов.
