Новини 01/03/2024

Крадуть паролі, гроші і облікові дані: GitHub заполонили шкідливі клони-репозиторії

Редактор у Highload

GitHub намагається стримати хакерську атаку, яка наповнює сайт мільйонами репозиторіїв. В них знаходиться шкідливе програмне забезпечення, яке викрадає паролі та криптовалюту з пристроїв розробників.

Про це розповіло видання ArsTechnica.

Як це працює?

Шкідливі репозиторії — це клони, тому їх важко розрізнити. Хакери автоматизувала процес. Зазвичай, це відбувається так:

клонування наявних репозиторіїв (наприклад: TwitterFollowBot, WhatsappBOT, discord-boost-tool, Twitch-Follow-Bot та сотні інших);
зараження їх завантажувачами шкідливих програм;

завантаження їх назад на GitHub з ідентичними назвами;
автоматичне розгалуження кожного тисячі разів;
прихована реклама через форуми, Discord тощо.

Результатом зловмисників є мільйони таких клонів. Що ще гірше, деякі люди, не підозрюючи про це, продовжують копіювати та поширювати шкідливе ПЗ.

Встигніть знайти та видалити

«Більшість розгалужених репо швидко видаляються GitHub, який ідентифікує автоматизацію», — написали в середу експерти у сфері кіберпезпеки Матан Гіладі та Гіл Девід.

Але, за їх словами, автоматизована ідентифікація пропускає багато сховищ, в тому числі й ті, які були завантажені вручну. І оскільки весь ланцюжок атак, здебільшого автоматизований у великих масштабах, 1%, — це +100 тисяча шкідливих репозиторіїв.

Враховуючи постійний відтік нових репозиторіїв, важко точно оцінити, скільки кожного з них є. Дослідники кажуть, що кількість репозиторіїв до того, як GitHub їх видалить, ймовірно, обчислюється мільйонами.

Розробники запускають репозиторій, розпаковують, і отримують шкідливий код Python, а пізніше — виконуваний файл.

Код складається переважно з модифікованої версії BlackCap-Grabber, збирає файли cookie для автентифікації та облікові дані для входу з різних програм і надсилає їх на сервер, контрольований зловмисником.

Нижче — те, як працює схема.