Злоумышленники теперь используют возможности поиска на GitHub, чтобы обманом заставить ничего не подозревающих пользователей, ищущих популярные репозитории, загружать поддельные аналоги, обслуживающие вредоносное ПО.
Последняя атака на цепочку поставок программного обеспечения с открытым исходным кодом включает сокрытие вредоносного кода в файлах Microsoft Visual Code Project, который предназначен для загрузки полезных данных следующего этапа с удаленного URL, сказал Checkmarx в отчете, опубликованном в Hacker News.
"Злоумышленники создают вредоносные репозитории с популярными названиями и темами, используя такие методы, как автоматические обновления и фальшивые звездочки, чтобы повысить рейтинг в поиске и обмануть пользователей", - сказал исследователь безопасности Иегуда Гелб.
Идея состоит в том, чтобы манипулировать поисковыми рейтингами на GitHub, чтобы вывести репозитории, контролируемые исполнителями угроз, на первое место, когда пользователи фильтруют и сортируют свои результаты на основе самых последних обновлений, и повысить популярность за счет фиктивных звездочек, добавленных через поддельные аккаунты.
При этом атака создает видимость легитимности и доверия к мошенническим репозиториям, фактически заставляя разработчиков загружать их обманом.
"В отличие от прошлых инцидентов, когда было обнаружено, что злоумышленники добавляли сотни или тысячи звездочек к своим репозиториям, похоже, что в этих случаях злоумышленники выбрали более скромное количество звездочек, вероятно, чтобы не вызывать подозрений преувеличенным количеством", - сказал Гелб.
Стоит отметить, что предыдущее исследование, проведенное Checkmarx в конце прошлого года, выявило черный рынок, состоящий из интернет-магазинов и групп чатов, которые продают GitHub stars для искусственного повышения популярности репозитория, метод, называемый star influence.
Более того, большинство этих репозиториев замаскированы под законные проекты, связанные с популярными играми, читами и инструментами, что добавляет еще один уровень сложности, затрудняющий их отличие от вредоносного кода.
Было замечено, что некоторые репозитории загружают зашифрованный файл .7z, содержащий исполняемый файл с именем "feedbackAPI.exe " объем был увеличен до 750 МБ в вероятной попытке избежать антивирусного сканирования и в конечном итоге запустить вредоносное ПО, имеющее сходство с Keyzetsu clipper.
Вредоносное ПО для Windows, о котором стало известно в начале прошлого года, часто распространяется через пиратское программное обеспечение, такое как Evernote. Оно способно перенаправлять транзакции с криптовалютой на кошельки, принадлежащие злоумышленнику, путем замены адреса кошелька, скопированного в буфер обмена.
Полученные результаты подчеркивают должную осмотрительность, которой разработчики должны следовать при загрузке исходного кода из репозиториев с открытым исходным кодом, не говоря уже об опасности полагаться исключительно на репутацию как показатель для оценки надежности.
"Использование вредоносных репозиториев GitHub для распространения вредоносного ПО является постоянной тенденцией, которая представляет значительную угрозу экосистеме с открытым исходным кодом", - сказал Гелб.
"Используя функциональность поиска на GitHub и манипулируя свойствами репозитория, злоумышленники могут заманить ничего не подозревающих пользователей в загрузку и выполнение вредоносного кода".
Разработка началась после того, как компания Phylum заявила, что обнаружила резкий рост количества спам-пакетов (то есть не вредоносных), публикуемых в реестре npm пользователем по имени ylmin для организации "масштабной автоматизированной кампании по выращиванию криптовалют", которая злоупотребляет протоколом Tea.
"Протокол Tea - это платформа web3, заявленной целью которой является компенсация сопровождающим пакетов с открытым исходным кодом, но вместо денежного вознаграждения они получают токены TEA, криптовалюту", - сказала исследовательская группа компании.
"Протокол Tea еще даже не запущен. Эти пользователи собирают баллы из "Стимулированной тестовой сети ", очевидно, в расчете на то, что наличие большего количества баллов в тестовой сети увеличит их шансы на получение более позднего airdrop".
