Поделиться
Сотни новообнаруженных репозиториев GitHub содержат вредоносное ПО
Общедоступные репозитории, такие как GitHub, PyPI и другие, все чаще оказываются каналом распространения вредоносов, причем кампании могут длиться годами.
Раз троян, два троян
Исследователи в сфере безопасности выявили сразу несколько десятков троянизированных репозиториев в GitHub, которые угрожают геймерам и разработчикам.
В последней подборке, составленной сотрудниками фирмы ReversingLabs, фигурируют 67 репозиториев, содержащих троянизированные версии различных утилит и разной степени сомнительности (хотя и не криминальных) инструментов.
По мнению исследователей, за этой кампанией стоит группировка под условным названием Banana Squad, и она же стояла за подгрузкой в главный репозиторий Python - PyPI - вредоносных пакетов, предназначенных для кражи данных из систем под Windows.
Эти пакеты оказались скачанными 75 тыс. раз, по-видимому, скомпрометировав множество различных разработок.
В конце 2024 года SANS Internet Storm Center опубликовал свое исследование репозитория в GitHub под названием steam-account-checker; в нем обнаружились скрытые функции: в частности, он докачивал дополнительные компоненты на Python, предназначенные для встраивания вредоносного кода в криптокошельки Exodus и вывода значимых данных на внешний сервер. И располагался этот сервер по адресу dieserbenni.ru.
Дальнейшее исследование того же репозитория позволило выявить еще 67 троянизированных репозиториев в GitHub.
Как пишет издание The Hacker News, есть основания полагать, что основной целью вредоносов являются люди, которые ищут т.н. средства очистки аккаунтов в Discord, игровые читы для Fortnite, а также средства проверки пользовательских имен в TikTok и PayPal.
Все троянизированные репозитории уже удалены администрацией GitHub.
Эксперты призывают проверять и перепроверять любые сторонние программные компоненты, скачанные из общедоступных репозиториев. Они слишком часто в последнее время становятся источником вредоносов.
Тенденция, однако
Ранее на этой неделе эксперты Trend Micro опубликовали отчет, в котором говорилось об обнаружении еще 76 репозиториев GitHub с вредоносным содержимым. Все они принадлежали одной и той же группировке, получившей условное название Water Curse, и использовались для распространения многокомпонентного вредоносного ПО.
Эти вредоносы предназначались для кражи реквизитов доступа, статистики браузера, токенов сессий, а также позволяли устанавливать бэкдоры.
Затем компания Check Point подсветила еще одну кампанию, которая нацелена на пользователей Minecraft. Кампания использовала сеть аккаунтов в GitHub (получившую название Stargazers Ghost Network), через которые осуществлялось либо прямое распространение вредоносов, либо рассылались фишинговые ссылки.
По мнению экспертов Check Point, эти аккаунты составляют лишь часть целой экосистемы, предлагающей услуги по распространению вредоносного ПО - по-видимому, и через компрометацию чужих разработок через различные зависимости.
Другая кампания, Checkmarx, в апреле 2024 г. отмечала в своем отчете, что те же злоумышленники регулярно выкатывали обновления для своих замаскированных под легитимное ПО вредоносных компонентов, чтобы искусственно завысить показатели популярности и вывести их на более высокие позиции в GitHub.
В материале Hacker News упоминается также о кампании, нацеленной на малоопытных хакеров, искавших готовые к использованию вредоносы. Компания Sophos ранее в этом месяце выявила репозиторий, в котором содержался троянизированный код вредоноса для удаленного доступа Sakura-RAT. В результате его сборки сами незадачливые хакеры получали в свои системы инфостилеры, бэкдоры и другие вредоносы.
Эксперты Sophos насчитали не менее 133 репозиториев с троянизированными компонентами. По мнению исследователей, это тоже было частью кампании, начавшейся еще в 2022 г. В ходе нее злоумышленники использовали не десятки, и даже не сотни, а тысячи скомпрометированных аккаунтов в GitHub.
«Очевидно, что речь идет о тенденции, которая может перевернуть с ног на голову значительную часть экосистемы вокруг общедоступных репозиториев», - считает Анастасия Мельникова, директор по информационной безопасности компании SEQ.« Ситуация требует пересмотра подходов к безопасности в самих таких репозиториях: каждый троянизированный компонент - потенциальная угроза для большого количества сторонних разработок, использующих его, в то время как вычистить вредоносную нагрузку может быть нетривиальной задачей».
Эксперт добавила, что программистам, пользующимся сторонними репозиториями, необходимо с удвоенным вниманием инспектировать чужой код: злоумышленники все чаще прячут и маскируют вредоносные составляющие, причем весьма эффективно.
Короткая ссылка
