Banana Squad GitHub kampánya
A ReversingLabs kutatói által azonosított Banana Squad kampány során több mint hatvan GitHub repoban fedeztek fel trojanozott Python‑eszközöket, amelyek kifinomultan úgy álcázzák magukat, mintha legitim hacker eszközök lennének. Ezek a rosszindulatú kódrészletek úgy épültek be, hogy több száz fájl tartalmaz rejtett backdoor modulokat, titkosított formában – Base64, Fernet és hex enkódolással –, amelyek a véglegesen letöltődő kód futtatása után érzékelik és ki is használják a fertőzött fejlesztők rendszereit.
A támadók trükkösen használják a GitHub UI‑jának tulajdonságát, a hosszú sorokat nem törik új sorra. Így a kódrészlet végén hatalmas üres helyekkel elrejtett beágyazott backdoor tömegét nem veszik észre a fejlesztők, hacsak nem görgetnek messzire.
A kampány mögött a Banana Squad csoport áll, amely korábban is aktív volt, 2023-ban több száz álcázott Python és Windows csomagot helyeztek el különböző OSS platformokon (PyPI, npm), és ezek számos rendszerbe jutottak el. Ez alkalommal már GitHubra terjesztettek és immár fejlettebb technikákat alkalmaztak.
Az érintett repók mögött gyakran hamis GitHub-fiókok álltak, amelyek csak egyetlen repo-t kezelnek – gyakorlatilag erre a célra hozták őket létre. A repo-k nevei gyakran megegyeztek ismerős, népszerű eszközök nevével, így a typo‑squatting trükkön keresztül a gyanút mihamarabb el akarták oszlatni.
A ReversingLabs munkája eredményeként GitHub eltávolította az összes érintett tárhelyet, de nem lehet tudni, hány fejlesztő töltötte le ezeket addig.
