Hakeri sada koriste funkciju pretrage na GitHub-u da bi prevarili ništa ne sluteće korisnike koji traže popularne repozitorijume, navodeći ih da preuzmu lažne verzije koje sadrže malver.
Najnoviji napad na lanac nabavke softvera otvorenog koda uključuje prikrivanje zlonamjernog koda u projektnim datotekama Microsoft Visual Code koji su dizajnirani za preuzimanje korisnih podataka sljedeće faze sa udaljenog URL-a, rekao je Checkmarx u izvještaju podijeljenom za The Hacker News.
“Napadači kreiraju zlonamjerne repozitorijume s popularnim imenima i temama, koristeći tehnike poput automatizovanih ažuriranja i lažnih zvijezda kako bi poboljšali rangiranje u pretraživanju i obmanuli korisnike”, rekao je istraživač sigurnosti Yehuda Gelb.
Ideja je da se manipuliše rangiranjem pretrage u GitHubu kako bi se repozitorijumi koje kontrolišu hakeri nalazili na vrhu kada korisnici filtriraju i sortiraju svoje rezultate na osnovu najnovijih ažuriranja i povećaju popularnost putem lažnih zvijezda dodatih preko lažnih naloga.
Čineći to, napad daje izgled legitimiteta i povjerenja lažnim repozitorijumima, efektivno obmanjujući programere da ih preuzmu.
“Za razliku od prošlih incidenata u kojima je utvrđeno da napadači dodaju stotine ili hiljade zvjezdica na svoje repo, čini se da su se u ovim slučajevima napadači odlučili za skromniji broj zvjezdica, vjerovatno kako bi izbjegli izazivanje sumnje pretjeranim brojem”, rekao je Gelb.
Vrijedi istaći da je prethodno istraživanje iz Checkmarxa krajem prošle godine otkrilo crno tržište koje se sastoji od online trgovina i chat grupa koje prodaju GitHub zvijezde kako bi umjetno povećale popularnost repozitorijuma, tehniku koja se naziva inflacija zvijezda.
Štaviše, većina ovih repozitorijuma je prerušena u legitimne projekte koji se odnose na popularne igre, varalice i alate, dodajući još jedan sloj sofisticiranosti kako bi ih bilo teže razlikovati od benignog koda.
Neka spremišta su primijećena kako preuzimaju šifriranu .7z datoteku koja sadrži izvršnu datoteku pod nazivom “feedbackAPI.exe” koja je povećana na 750 MB u vjerovatnom pokušaju da se izbjegne antivirusno skeniranje i na kraju pokrene malver koji dijeli sličnosti sa Keyzetsu kliperom.
Zlonamjerni softver za Windows, koji je izašao na vidjelo početkom prošle godine, često se distribuiše putem piratskog softvera kao što je Evernote. U stanju je da preusmjeri transakcije kriptovaluta u novčanike u vlasništvu napadača zamjenom adrese novčanika kopiranom u međuspremniku.
Nalazi naglašavaju dužnu pažnju koju programeri moraju slijediti prilikom preuzimanja izvornog koda iz spremišta otvorenog koda, a da ne spominjemo opasnosti oslanjanja isključivo na reputaciju kao metriku za procjenu pouzdanosti.
“Upotreba zlonamjernih GitHub spremišta za distribuciju malvera je stalni trend koji predstavlja značajnu prijetnju ekosistemu otvorenog koda”, rekao je Gelb.
Iskorišćavanjem funkcionalnosti pretraživanja GitHub-a i manipulisanjem svojstvima repozitorijuma, napadači mogu namamiti nesuđene korisnike da preuzmu i izvrše zlonamjerni kod.”
Razvoj dolazi nakon što je Phylum rekao da je otkrio porast broja neželjenih (tj. ne-zlonamjernih) paketa koje je korisnik po imenu ylmin objavio u npm registru kako bi orkestrirao “masovnu automatizovanu kampanju kripto farmacije” koja zloupotrebljava Tea protokol.
“Protokol Tea je web3 platforma čiji je navedeni cilj kompenzacija održavaocima paketa otvorenog koda, ali umjesto novčanih nagrada, oni su nagrađeni TEA tokenima, kriptovalutom”, rekao je istraživački tim kompanije.
“Protokol Tea još nije ni aktivan. Ovi korisnici prikupljaju poene iz ‘Incentivized Testneta’, očigledno sa očekivanjem da će više poena u Testnetu povećati njihove izglede da dobiju kasnije airdrop.”
Izvor: The Hacker News
