Hamis GitHub-repok

Editors' Pick

Az Arctic Wolf kutatása szerint egy pénzügyi haszonszerzésre törekvő támadó legalább 292 hamis GitHub-repozitóriumot hozott létre, amelyek ismert szoftvergyártókat, biztonsági cégeket és népszerű fejlesztői eszközöket adtak ki maguknak. A kampány célja a BoryptGrab infostealer egy továbbfejlesztett változatának terjesztése volt. A megtévesztő repozitóriumok professzionális README fájlokat, SEO-optimalizált kulcsszavakat és hivatalos letöltés hivatkozásokat tartalmaztak, amelyek egy külső weboldalra irányították az áldozatokat. Innen egy ZIP-állomány töltődött le, amely legitim alkalmazásnak álcázott futtatható fájlt és egy rosszindulatú DLL-t tartalmazott. A fertőzés DLL side-loading technikával indult, amely megkerüli a felhasználók és egyes biztonsági megoldások gyanúját.

A BoryptGrab elsődleges feladata a hitelesítő adatok és egyéb értékes információk eltulajdonítása. A kártevő begyűjti a böngészőkben tárolt jelszavakat, sütiket, automatikus kitöltési adatokat, kriptovaluta-tárcák állományait, rendszerinformációkat és különböző felhasználói fájlokat. Egyes változatok emellett egy TunnesshClient backdoort is telepítenek, amely fordított SSH-tunnelen keresztül biztosít tartós hozzáférést a fertőzött rendszerhez. Ez nemcsak adatlopást tesz lehetővé, hanem további kártevők telepítését és a kompromittált gép későbbi felhasználását is.

A GitHubba vetett bizalom egyre gyakrabban válik a social engineering eszközévé. A támadók nem magát a platformot törik fel, hanem annak hitelességét használják ki, a professzionális megjelenésű repozitóriumok, a keresőoptimalizálás és a jól ismert márkák utánzása elegendő ahhoz, hogy a felhasználók hivatalos forrásnak tekintsék a letöltéseket. 

FORRÁS