Вредоносный код в GitHub: как хакеры атакуют программистов

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
31.810
Репутация
12.420
Реакции
63.768
RUB
50
Мы обнаружили в GitHub более 200 репозиториев с поддельными проектами. С их помощью злоумышленники распространяют стилеры, клиперы и бэкдоры.

Можете представить себе мир, в котором каждый раз, прежде чем куда-либо поехать, вам нужно придумывать колесо и собирать вручную велосипед? Мы — нет. Зачем что-то придумывать, если оно уже давно успешно существует? Точно такая же логика работает и в программировании: разработчикам ежедневно приходится сталкиваться с типовыми задачами, и вместо придумывания колес и велосипедов собственного производства (которые могут быть еще и некачественными) они просто берут уже готовый велосипед код из открытого репозитория в GitHub.

Доступно такое решение абсолютно для всех, в том числе и для злоумышленников, которые используют бесплатный шикарный, самый лучший в мире открытый код в качестве приманки. Подтверждений этому тезису много, и вот свежайшее: наши эксперты обнаружили активную вредоносную кампанию GitVenom, направленную на пользователей GitHub.

Вредоносный код в поддельных репозиториях в Github

Что такое GitVenom

Так мы назвали вредоносную кампанию, в ходе которой неизвестными были созданы более 200 репозиториев, содержащих фейковые проекты с вредоносным кодом: боты для Telegram, инструменты для взлома игры Valorant, автоматизации действий в Instagram и управления кошельками Bitcoin. На первый взгляд все репозитории выглядят легитимно, особенно выделяется хорошо оформленный файл-гайд по работе с кодом README.MD с подробными инструкциями на нескольких языках мира.


Злоумышленники использовали искусственный интеллект для написания подробнейших инструкций на разных языках

Еще один признак легитимности репозиториев — большое количество коммитов. В репозиториях злоумышленников их очень много — десятки тысяч. Разумеется, они не обновляли для правдоподобности каждый из двух сотен репозиториев, а попросту поместили в них файлы с временными метками, которые обновлялись каждые несколько минут. Но сочетание хорошо проработанной документации и множества коммитов создает у разработчиков иллюзию, что с кодом тут все в порядке и его абсолютно безопасно использовать.

GitVenom активен как минимум два года

Кампания была запущена уже давно: самому старому из обнаруженных нами поддельных репозиториев около двух лет. За это время жертвами GitVenom стали разработчики из России, Бразилии, Турции и других стран. Злоумышленники охватили широкий спектр языков программирования: вредоносный код был обнаружен в репозиториях на Python, JavaScript, C, C# и C++.

Что касается функциональности поддельного кода, то описанные в файле-инструкции возможности реализованы не были — в реальности код не делает и половины заявленного. Но «благодаря» ему на компьютерах жертв оказываются вредоносные компоненты из репозитория злоумышленников на GitHub.
  • Node.js — , который собирает логины и пароли, данные криптовалютных кошельков, историю просмотров браузера, упаковывает украденные данные в архив .7z и отправляет злоумышленникам через Telegram.
  • AsyncRAT устройства жертвы с открытым исходным кодом, который может работать в том числе и как кейлоггер.
  • Quasar с открытым исходным кодом.
  • Клиппер, который ищет в содержимом буфера обмена адреса криптовалютных кошельков и заменяет их на контролируемые злоумышленниками. Примечательно, что в ноябре 2024 года на используемый в этой атаке хакерский кошелек одномоментно упало около пяти биткойнов (примерно $485 000 долларов США на момент исследования).
О деталях этой вредоносной кампании вы можете узнать из , опубликованного на SecureList.

Как защититься от вредоносного кода на GitHub

Если коротко, то лучший способ защиты — внимательность. Поскольку , злоумышленники наверняка продолжат распространять вредоносный код с помощью этой популярной платформы.

Вопрос только в том, как именно они будут это делать, — еще десять лет назад никто не догадывался, что атакующим удастся вести кампании вроде GitVenom так долго и упорно. Поэтому каждому разработчику необходимо соблюдать правила кибергигиены при работе с GitHub.
  • Анализируйте код прежде, чем интегрировать его в существующий проект.
  • Используйте защиту от вредоносного ПО на компьютерах и смартфонах.
  • Тщательно проверяйте косвенные признаки: аккаунты контрибьюторов, количество звезд (лайков), дату создания. Скорее всего, если аккаунт создан три дня назад, репозиторий — два, а красуется там одна звезда, то с большой долей вероятности можно сказать, что внутри будет вредоносный код.
  • Не скачивайте файлы по прямым ссылкам на GitHub, которые опубликованы в чатах, подозрительных каналах или непроверенных сайтах.
  • При обнаружении подозрительного репозитория, сообщите в GitHub — это может спасти несколько чужих устройств без надежной защиты.

 
  • Теги
    github бэкдор вредоносный код клиперы стилеры
  • Назад
    Сверху Снизу