Една од најпопуларните алатки за развој и за складирање на софтвер GitHub, оваа година е цел на напад кој го преплавува сервисот со милиони малициозни репозитори на код. Во овие репозитори е скриен малициозен код кој краде лозинки и криптовалути од уредите на жртвите, пишува Ars Technica.
Напаѓачот клонира постоечки, легитимни репоа на кои потоа додава малициозен код. Целиот процес на клонирање и гранење (fork) на репоата и додавање малициозен код е автоматизиран. GitHub користи автоматско отстранување за вака генерирани репоа, но дел успеваат да се „протнат“. Засега напаѓачот и потеклото на нападите се непознати.
Клучно за нападите е жртвата да се донесе на клонот на репозиторите, наместо на оригиналната и легитимна верзија. Најчесто не е едноставно да се препознаат клонираните малициозни репозитори, и корисниците, може без да забележат да направат гранка на малициозното репо, и со тоа и самите го засилуваат нападот.
Како се одвива нападот
Најпрво, напаѓачите креираат клонови од легитимни репозитори, на пример (discord-boost-tool, Twitch-Follow-Bot, TwitterFollowBot, WhatsappBOT) и ги инфицираат со малициозен лоадер. Потоа ги враќаат на GitHub со идентично име и автоматски се креираат илјадници гранки. На крај линкови до овие репоа се споделуваат на популарни форуми и канали кои девелоперите често ги посетуваат.
Автоматското креирање на гранки (fork) овозможува милиони да бидат „вратени“ назад на GitHub. За жал автоматската детекција не ги препознава сите, и мал дел успеваат да останат. Мал дел од репоата и рачно се качуваат, па системот не ги отстранува. Со оглед на начинот како потоа овие репоа се споделуваат со жртвите, и малиот број е повеќе од доволен. Системот за автоматска детекција на GitHub отстранува милиони автоматски репоа. Реакцијата е брза и репоата се отстрануваат за неколку часа.
Штом жртвата ќе преземе некое од малициозните репоа се отпакува скриениот малициозен код. Кодот е „скирен со седум слоеви“ велат безбедносните експерти од Apiiro. Кодот кој го користат за крадење на акредитиви за најавување од различни апликации, лозинки и колачиња на прелистувачот и други доверливи податоци е верзија на BlackCap – Grabber. Украдените податоци на жртвите се испраќаат назад до серверот за команда и контрола.
GitHub нападот започна во мај 2023
Нападот е актуелен десетина месеци, иако капацитетот на почетокот беше значително поограничен. Во мај 2023 безбедносните експерти на компанијата Phylum забележаа малициозни пакети во PyPI. Во овие напади се забележани и делови од малициозниот софтвер кој се користи и сега.
Од јуни до август 2023 наместо преку PyPI малициозниот софтвер се испраќа директно. Главна причина за ова е што PyPI ги отстрани малициозните пакети.
Од ноември 2023 до денес, се откриени 100 000 репоа со сличен малициозен софтвер и нивниот број расте. Дело од репоата кои се користат се со мала популарност и ова предизвикува дополнителни потешкотии за нивно препознавање и пронаоѓање.
Малициозен код во репоа и тренинг на вештачка интелигенција
Едно интересно прашање кое се отвора со креирање на овие малициозни гранки е како ќе влијаат на тренирањето на вештачката интелигенција. GitHub е еден од изворите на кои се тренира Copilot на Microsoft, па ако започне да тренира на код кој има пропусти и доаѓа со задни врати (backfoor) ова ќе бие сериозен проблем во иднина.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
