Fertőzött GitHub repository-k
A Sophos X-Ops jelentése szerint egy ismeretlen, ischhfd83 néven azonosított fenyegető szereplő több mint 140, főként GitHubon tárolt nyílt forráskódú projektet fertőzött meg backdoor-ral. Ezek a projektek látszólag ártalmatlanok voltak, például játékos csalások, exploit eszközök vagy nyílt forráskódú kártevők, mint a Sakura RAT. Valójában azonban a kódok olyan rejtett utasításokat tartalmaztak, amelyek a fejlesztés során, például a Visual Studio PreBuild eseményein keresztül, kártékony szoftvereket töltöttek le és telepítettek a felhasználók gépeire.
A fertőzési lánc több lépcsős volt: a PreBuild szkript egy VBS fájlt hozott létre, amely egy PowerShell szkriptet generált, ez pedig egy jelszóval védett 7z tömörített fájlt töltött le. A kicsomagolása után egy Electron-alapú alkalmazás, a SearchFilter.exe futott le, amely különféle kémkedési funkciókat hajtott végre, például képernyőképek készítése, rendszerinformációk gyűjtése és ezek továbbítása Telegramon keresztül a támadóknak.
A támadók automatizált GitHub Actions workflow-kat használtak a projektek aktivitásának szimulálására, így a repok rendszeresen frissültek, megbízhatónak tűntek és vonzották a gyanútlan fejlesztőket és játékosokat. A kampány célpontjai elsősorban tapasztalatlan kiberbűnözők és játékosok voltak, akik csalásokat vagy kártevő eszközöket kerestek.
A Sophos kutatói több mint 130 fertőzött repot azonosítottak, és jelentették azokat a GitHubnak, amely azóta eltávolította a legtöbbet. A nyílt forráskódú projektek is lehetnek kiberbiztonsági kockázatok forrásai, különösen ha nem megbízható forrásból származnak. A felhasználóknak ajánlott óvatosnak lenniük az ismeretlen eredetű kódok letöltésekor és futtatásakor, valamint rendszeresen ellenőrizniük kell a rendszereik biztonságát.