21/07/23
В недавнем заявлении сервис GitHub сообщил о небольшой кампании социальной инженерии, которую организовала группа Jade Sleet или TraderTraitor, предположительно имеющая отношение к КНДР. Злоумышленники нацелились на учетные записи сотрудников технологических организаций, связанных в том числе с блокчейном, криптовалютами и секторами онлайн-гемблинга. При этом ни одна система GitHub или npm не была скомпрометирована, как сообщается в официальном блоге.
Методы атаки включали использование поддельных аккаунтов на GitHub и других социальных платформах: LinkedIn, Slack и Telegram. После установления контакта злоумышленники предлагали сотрудничество над репозиторием, содержащим программное обеспечение с вредоносными npm-зависимостями, пишет Securitylab.
В ответ на угрозу GitHub заблокировал все учетные записи кампании и опубликовал их список. В свете событий организация Nautilus провела независимое исследование и выявила, что примерно 2,95% из 1,25 млн репозиториев GitHub уязвимы для RepoJacking. Это создает потенциал для широкомасштабных атак.
Сам GitHub предложил несколько рекомендаций по усилению безопасности. Платформа призвала пользователей быть настороже при получении предложений о сотрудничестве или установке npm-пакетов через социальные сети, если они связаны с целевыми отраслями. Кроме того, специалисты посоветовали обращать внимание на зависимости и установочные скрипты, особенно если они были опубликованы недавно и включают сетевые подключения.
Пользователям, которые оказались под прицелом злоумышленников, рекомендуют связаться с отделом кибербезопасности своего работодателя. Если целевой контент был выполнен, целесообразно сбросить настройки или переустановить устройства, изменить пароли от аккаунтов и заменить чувствительные учетные данные/токены.
