На GitHub выявлено более 100 тысяч репозиториев с вредоносным кодом

03.03.2024 13:00

Исследователи безопасности из компании Apiiro выявили активность злоумышленников, размещающих на GitHub модифицированные клоны репозиториев различных проектов, в которые вносятся небольшие изменения, нацеленные на совершение вредоносных действий. Как правило, вредоносный репозиторий создаётся с тем же именем, но прикреплённым к другой организации ("github.org/org1/proj" -> "github.org/org2/proj"), или с немного отличающимся от оригинала именем (тайпсквотинг), с расчётом, что жертва не заметит отличий и воспользуется кодом с вредоносными изменениями. Для завлечения пользователей ссылки на вредоносные репозитории активно размещаются в различных социальных сетях, форумах и чатах.

Сообщается о выявлении более 100 тысяч подобных репозиториев, но по предположению исследователей общее число размещённых репозиториев с вредоносными изменениями может исчисляться миллионами, так как подавляющая часть автоматически созданных репозиториев удаляется силами GitHub через несколько часов после их размещения. Среди масок, которые можно использовать для определения наличия вредоносных вставок в загруженных репозиториях, упоминаются:


    exec(Fernet
    exec(requests
    exec(__import
    exec(bytes
    exec(“””\nimport
    exec(compile
    __import__(“builtins”).exec(

Прикрепляемый вредоносный код представляет собой модифицированную версию BlackCap-Grabber, после запуска осуществляющую поиск конфиденциальных данных, таких как параметры учётных записей, токены, сохранённые в браузере пароли и Cookie, и выполняющую их отправку на сервер атакующих. Вредоносный код также поддерживает подмену адресов криптовалют, передаваемых через буфер обмена, может создавать скриншоты и принимать команды от управляющего сервера (C&C).

исправить +8 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/60718-github

Ключевые слова: github, mallware

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (17)

1.1, Аноним (1), 13:18, 03/03/2024 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Пока на f-droid не появится, не качаю. И даже так нет никаких гарантий.

2.3, Аноним (3), 13:43, 03/03/2024 [^] [^^] [^^^] [ответить]	+1 +/–
А причём тут f-droid? Речь же не только об Android. Да и им, с другой стороны, нельзя слепо доверять. Манифест шифропанков о чём говорил?

2.7, DeerFriend (?), 15:29, 03/03/2024 [^] [^^] [^^^] [ответить]	+/–
у вас опечатка в слове ru-store :)

3.15, нейм (?), 17:47, 03/03/2024 [^] [^^] [^^^] [ответить]	+6 +/–
рустор - это само по себе опечатка

3.16, а што не так (?), 18:15, 03/03/2024 Скрыто ботом-модератором [к модератору]	–2 +/–

1.2, Аноним (3), 13:39, 03/03/2024 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Вот проверялка в помощь: find . -type f -iname "*.py" -exec grep -E 'exec\(Fernet\|exec\(requests\|exec\(__import\|exec\(bytes\|exec\(\"\"\"\\nimport\|exec\(compile\|__import__\(\"builtins\"\).exec\(' {} \; -print

1.4, Аноним (3), 14:06, 03/03/2024 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Судя по исходникам BlackCap-Grabber заточен под Винду.

1.5, ИмяХ (ok), 14:58, 03/03/2024 [ответить] [﹢﹢﹢] [ · · · ]	+8 +/–
>>Исследователи безопасности из компании Почему опять код исследуют какие-то корпорасты? Куда смотрит свободное сообщество?

2.10, Аноним (10), 16:12, 03/03/2024 [^] [^^] [^^^] [ответить]	+/–
Потому что для корпоратов это отличная возможность прописаться и у них есть достаточно ресурсов чтобы перелопатить такой объем информации.

3.11, Аноним (10), 16:13, 03/03/2024 [^] [^^] [^^^] [ответить]	+/–
Пропиариться*

3.12, Аноним (-), 16:47, 03/03/2024 [^] [^^] [^^^] [ответить]

+1 +/–

> отличная возможность прописаться

А Сообществу не нужно пиариться?
В хорошем смысле слова, ну чтобы другие люди узнали, что можно приность пользу и главное, как это сделать.

> у них есть достаточно ресурсов

У линукс фаундейшн 60 лардов активов.
Так что про недостаток ресурсов это скорее преувеличение.

4.14, Александр (??), 17:38, 03/03/2024 [^] [^^] [^^^] [ответить]	+2 +/–
Не знаю, нужно ли ему париться или нет, но все про это сообщество говорят так, будто это какая-то организация, к которой можно выдвигать какие-то претензии. Вообще-то вы тоже сообщество. Напишите анализатор, погоняйте у себя его пару деньков. Так и сообщество попиарите, а там глядишь ещё народ подтянется. Но ответом чую будет: "Мне за это не платят", "Не знаю как сделать/не моя сфера", "Работаю 24/7, мне некогда", "Мне это не нужно/не интересно", "У меня жена, дети, собаки, кошки, хомяки. Я за ними ухаживаю, не до этого" и т.д. Собственно, так же и у остального сообщества. В организации работают эти же люди, но они пришли на работу, им за это заплатили. Тут уже прямой коммерческий интерес, болеющими хомячками, да кошечками не отмажешься. Что до денег, линукс не хостится на гитхабе. Зачем им на нём что-то анализировать? У них хватает мест, куда эти ресурсы можно применить более полезно.

2.13, Аноним (13), 17:36, 03/03/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Они же опенсорсные, значит всё в порядке.

1.6, Аноним (6), 14:59, 03/03/2024 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>или с немного отличающимся от оригинала именем (тайпсквотинг), Битсквоттинг ещё хуже. Нужны контрмеры в реализациях и поддержка в станд. библиотеке для частей, уязвимых к битсквоттингу, а также ECC-память как ultimate countermeasure.

1.9, anonymous (??), 16:05, 03/03/2024 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>C&C Red Alert или Generals?

1.19, Аноним (19), 10:52, 04/03/2024 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
А уж сколько там бредоносного кода.. страшно и представить :)

игнорирование участников | лог модерирования

Добавить комментарий

Текст: