Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

~Miliony zainfekowanych repozytoriów na Github! ❌ Ktoś klonuje prawdziwe repozytoria i dodaje złośliwy kod wykradający hasła / hasła z przeglądarek / ciasteczka / portfele kryptowalut.

02 marca 2024, 12:21 | W biegu | komentarze 3

Szczegóły całej operacji dostępne są w tym miejscu. Autorzy piszą o „ponad 100 000 zainfekowanych repozytoriów”, ale wspominają że prawdopodobnie jest ich „miliony”.

Operacja klonowania repozytoriów została zautomatyzowana, a schemat działania wygląda następująco:

atakujący pobierają „prawdziwe” repozytorium-cel, dodają złośliwy kod, uploadują na GitHub takie repo (pod taką samą nazwą jak oryginał) i robią tysiące forków, a finalnie rozpylają po forach / serwerach Discord linki do zainfekowanych repozytoriów. Istotną częścią całej operacji jest więc socjotechnika.

GitHub próbuje walczyć z problemem, ale… różnie z tym wychodzi. Tzn. bardzo dużo udaje się usunąć, ale to co pozostaje i tak stanowi dość dużą liczbę. Ze względu na co chwilę pojawiające się nowe repozytoria i ich usuwanie przez GitHub, ciężko precyzyjnie określić liczbę zainfekowanych repo kodu.

Cała operacja zaczęła się w połowie 2023 roku, ale ostatnio znacznie przybrała na sile. Do infekcji używana jest zmodyfikowana wersja projektu BlackCap-Grabber (dostępnego zresztą na GitHub; wybaczcie nie zalinkujemy tego projektu…)

Tzw IoC (Indicators Of Compromise) wskazane są w tekście badaczy.

Uważajcie skąd dokładnie pobieracie kod z GitHuba (ta akurat akcja nie infekuje prawdziwych repozytoriów) i uważajcie na linki do repozytoriów rozpylane przez „losowe osoby”.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. KONDZiO102

    Klonowanie repozytorium to „pobieranie”. Także jak już to kopiują (forkują wygląda jakby nie pasowało, z racji że nie robią forka od oryginalnego repo).
    ~Miliony zainfekowanych repozytoriów na GitHub – to w tytule sugeruje jakoby te złośliwe rzeczy były wrzucane do oryginalnych repozytoriów.

    Odpowiedz
    • ojtam

      No ale to robią „atakujący pobierają „prawdziwe” repozytorium-cel, dodają złośliwy kod, uploadują na GitHub”
      oraz „GitHub próbuje walczyć z problemem, ale… różnie z tym wychodzi. Tzn. bardzo dużo udaje się usunąć,” Czyli wrzucają na githuba.. . Nie wiem, nie znam się ale od czego jest hash ? to szybka droga do weryfikacji „ta sama nazwa pliku, repo itp” ale hash inny.

      Odpowiedz
  2. dandelion

    Cześć. Może się czepiam, ale 20 lat temu czytałem o zasadach tworzenia linków z treści artykułu, które będą odczytywane głosowo dla osób niewidomych. Należy tak dobierać fragmenty tekstu wykorzystane jako odnośnik, aby jasno określały gdzie przejdziemy za pomocą linku.
    Tutaj są następujące: „dostępne są w tym miejscu”, „klonowania repozytoriów”, „wskazane są w tekście badaczy”. Trochę słabo prawda? Nie lepiej było użyć odpowiednio: „ponad 100 000 zainfekowanych repozytoriów”, „Operacja klonowania repozytoriów”, „Indicators Of Compromise”?
    Tak jak lubię czytać tekst dobrze podzielony na akapity, tak samo lubię dobrze opisane linki.

    Odpowiedz

Odpowiedz