:

Szerző: Dömös Zsuzsanna

2024. március 4. 13:59

Vírusokkal szórták meg a GitHubot

Nehezen megállíthatónak tűnik a tavaly indult támadássorozat, melynek során népszerű GitHub repository-k kártékony kódot tartalmazó klónjait terjesztik a kiberbűnözők.

Milliónyi fejlesztőt és felhasználót érintő támadássorozat alatt áll a GitHub fejlesztői kollaborációs platform az Apiiro biztonsági cég szakértői szerint, az eddigi vizsgálatok alapján több mint 100 ezer projektet veszélyeztethetnek a rosszindulatú felek. Az elkövetők többrétegű obfuszkációs technikát alkalmaznak: klónozzák a legitim repository-kat, és azokat kártékony kódokkal kiegészítve ismét feltöltik és elérhetővé teszik a platformon szinte megegyező néven, majd különféle social engineering módszerekkel próbálnak minél több felhasználót rávenni a letöltésre.

A manipulált adattárak letöltése után az elhelyezett malware-ek potenciálisan kompromittálhatják a felhasználók eszközét. A szakértők szerint az elkövetők a BlackCap-Grabber módosított változatát használják, ami különböző alkalmazások bejelentkezési adatait, jelszavakat és cookie-kat, valamint egyéb bizalmas adatokat képes begyűjteni.

A jelentés több tényezőre is rávilágít a GitHub sebezhetőségével kapcsolatban, és kiemeli, hogy a platform könnyű kezelhetősége, a könnyen elérhető API-k és a számos rejtett adattár jelenléte ideális környezetet teremt a támadók számára az úgynevezett watering hole támadások indításához.

githubmalware

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata!

A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

A "watering hole" támadásoknál a megcélzott személyek és vállalatok érdeklődési körébe tartozó és feltehetőleg gyakran felkeresett felületeket fertőzik meg a támadók, és az alkalomra várnak, hogy a gyanútlan áldozat felkeresse az általa megbízhatónak tartott weboldalt. Ez esetben a támadók a gyakran letöltött és népszerű repository-kba fecskendeztek rosszindulatú kódokat, amiknek az elérését a manipulált forkok terjesztésével próbálták növelni többek közt a közösségi médián, online fórumokon és más csatornákon keresztül, így rávéve a felhasználókat a letöltésükre.

A szakértők bejelentése után a GitHub a legtöbb rosszindulatú kódot tartalmazó adattárat már eltávolította, de a jelek szerint a támadók továbbra is próbálkoznak, és aktívan használják a módszert. A művelet a jelek szerint 2023. május óta tart és azóta folyamatosan megfigyelhető a rosszindulatú aktivitás, korábban a Python Package Index (PyPI) felületén találtak kompromittált kódokat. A platform ezért óvatosságra inti a felhasználókat, különösen az ismeretlen eredetű repository-k letöltését nem javasolja, érdemes meggyőződni előtte a kód forrásáról és legitimitásáról a projektekhez való felhasználás előtt.

A GitHub szóvivője szerint a platformon már több mint 420 millió repository található, a visszaéléseket és spameket az automatizált módszerek mellett manuális felülvizsgálattal is próbálják szűrni. A szakértők szerint mivel a támadássorozat rendkívül kiterjedt és automatizált módon zajlik, ezért mértékéből adódóan akkor is ezres nagyságrendben sikerül áldozatokat szednie az elkövetőknek, ha csak a módosított csomagok egy százalékának sikerül túljutnia a szűrőkön.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról