Крадуть паролі, гроші і облікові дані: GitHub заполонили шкідливі клони-репозиторії

Партнер видання

GitHub намагається стримати хакерську атаку, яка наповнює сайт мільйонами репозиторіїв. В них знаходиться шкідливе програмне забезпечення, яке викрадає паролі та криптовалюту з пристроїв розробників.

Про це розповіло видання ArsTechnica.

Як це працює?

Шкідливі репозиторії — це клони, тому їх важко розрізнити. Хакери автоматизувала процес. Зазвичай, це відбувається так:

1. клонування наявних репозиторіїв (наприклад: TwitterFollowBot, WhatsappBOT, discord-boost-tool, Twitch-Follow-Bot та сотні інших);
2. зараження їх завантажувачами шкідливих програм;
3. завантаження їх назад на GitHub з ідентичними назвами;
4. автоматичне розгалуження кожного тисячі разів;
5. прихована реклама через форуми, Discord тощо.

Результатом зловмисників є мільйони таких клонів. Що ще гірше, деякі люди, не підозрюючи про це, продовжують копіювати та поширювати шкідливе ПЗ.

Спецпроєкти

Українські компанії можуть стати учасниками AI-комітету. Які його функції і хто туди потрапить

Бізнес та айтівців запрошують на конференцію про кібербезпеку. Як потрапити?

Встигніть знайти та видалити

«Більшість розгалужених репо швидко видаляються GitHub, який ідентифікує автоматизацію», — написали в середу експерти у сфері кіберпезпеки Матан Гіладі та Гіл Девід.

Але, за їх словами, автоматизована ідентифікація пропускає багато сховищ, в тому числі й ті, які були завантажені вручну. І оскільки весь ланцюжок атак, здебільшого автоматизований у великих масштабах, 1%, — це +100 тисяча шкідливих репозиторіїв.

Враховуючи постійний відтік нових репозиторіїв, важко точно оцінити, скільки кожного з них є. Дослідники кажуть, що кількість репозиторіїв до того, як GitHub їх видалить, ймовірно, обчислюється мільйонами.

Розробники запускають репозиторій, розпаковують, і отримують шкідливий код Python, а пізніше — виконуваний файл.

Код складається переважно з модифікованої версії BlackCap-Grabber, збирає файли cookie для автентифікації та облікові дані для входу з різних програм і надсилає їх на сервер, контрольований зловмисником.

Нижче — те, як працює схема.

Відомо, що інформаційні атаки почалися в травні минулого року і тривають дотепер.

Разом з цим, нещодавно стало відомо й про іншу шахрайську схему на GitHub — з фішингом та досить правдоподібними листами.

Партнер видання

Favbet Tech – це ІТ-компанія зі 100% українською‌ ДНК, що створює досконалі сервіси для iGaming і Betting з використанням передових технологій та надає доступ до них. Favbet Tech розробляє інноваційне програмне забезпечення через складну багатокомпонентну платформу, яка здатна витримувати величезні навантаження та створювати унікальний досвід для гравців.