Fejlesztők átverése egy nyílt forráskódú ellátási lánc elleni támadásban
Egy nemrégiben indított támadási kampányban kiberbűnözőkről derült ki, hogy ügyesen manipulálják a GitHub keresési funkcióit, és aprólékosan kidolgozott tárolók segítségével rosszindulatú szoftvereket terjesztenek.
GitHub keresési manipuláció, amikor a támadók népszerű nevekkel és témákkal rendelkező rosszindulatú tárolókat hoznak létre, és olyan technikákat használnak, mint az automatikus frissítések és a hamis csillagok, hogy növeljék a keresési rangsorokat és megtévesszék a felhasználókat.
A rosszindulatú kódot gyakran a Visual Studio projektfájlokba (.csproj vagy .vcxproj) rejtik el, hogy elkerüljék a felismerést, és a projekt létrehozásakor automatikusan végrehajtódjon.
A támadó úgy állította be a színpadot, hogy a hasznos terhet az áldozat származása alapján módosítja, és kifejezetten azt ellenőrzi, hogy az áldozat Oroszországban található-e. Jelenleg nem látjuk ezt a képességet aktiválva.
A legutóbbi kártevő kampány egy nagy, kitömött futtatható fájlt tartalmaz, amely hasonlóságokat mutat a “Keyzetsu clipper” kártevővel, amely kriptopénz tárcákat céloz meg.
A kártevő a fertőzött Windows-gépeken egy ütemezett feladat létrehozásával állandóságot hoz létre, amely a rosszindulatú futtatható fájlt naponta hajnali 4 órakor futtatja a felhasználó megerősítése nélkül.
A fejlesztőknek óvatosnak kell lenniük, amikor nyilvános tárolókból származó kódot használnak, és figyelniük kell a tárolók gyanús tulajdonságaira, például a magas commit gyakoriságra és a nemrég létrehozott fiókokkal rendelkező csillagászokra.