Mastodon
Connect with us

Open Source

Απειλητική εκστρατεία κατά προγραμματιστών στο GitHub

Published

on

Απειλητική εκστρατεία κατά προγραμματιστών στο GitHub

Μια νέα απειλή για τους προγραμματιστές

Μια νέα εκστρατεία απειλών στοχεύει προγραμματιστές λογισμικού μέσω αποθετηρίων GitHub που, με την πρώτη ματιά, φαίνονται απολύτως νόμιμα. Οι ερευνητές ασφαλείας από την ReversingLabs ανακάλυψαν πάνω από 60 αποθετήρια στο GitHub που περιείχαν φαινομενικά συνηθισμένα εργαλεία hacking γραμμένα σε Python. Ωστόσο, αν κοιτάξει κανείς πιο προσεκτικά – ή καλύτερα, αν μετακινηθεί λίγο πιο δεξιά – θα διαπιστώσει ότι αυτά τα αποθετήρια έκρυβαν εκατοντάδες κακόβουλα αρχεία σχεδιασμένα να κλέβουν ευαίσθητα δεδομένα από ανυποψίαστους προγραμματιστές.

Αυτό που κάνει αυτή την ανακάλυψη ανησυχητική είναι η αλλαγή τακτικής που αντιπροσωπεύει. Ενώ οι κυβερνοεγκληματίες έχουν πλημμυρίσει τις πλατφόρμες ανοιχτού κώδικα όπως το npm και το PyPI με ύποπτα πακέτα, τώρα δημιουργούν πολύ πιο λεπτές επιθέσεις που εκμεταλλεύονται πλατφόρμες που οι προγραμματιστές συχνά εμπιστεύονται εγγενώς.

Η επιστροφή της ομάδας Banana Squad

Αν παρακολουθείτε τις ειδήσεις για την κυβερνοασφάλεια, ίσως θυμάστε μια ομάδα που ονομάζεται Banana Squad, την οποία οι ερευνητές της Checkmarx εντόπισαν τον Οκτώβριο του 2023. Η ομάδα πήρε το ιδιόμορφο όνομά της από έναν από τους πρώτους κακόβουλους τομείς της: bananasquad[.]ru.

Αυτοί οι δράστες ήταν ιδιαίτερα δραστήριοι. Η αρχική τους εκστρατεία ξεκίνησε τον Απρίλιο του 2023, όταν ανέπτυξαν εκατοντάδες κακόβουλα πακέτα χρησιμοποιώντας διάφορα ονόματα χρήστη. Αυτά τα πακέτα κατέβηκαν σχεδόν 75.000 φορές πριν οι ομάδες ασφαλείας τα εντοπίσουν και τα αφαιρέσουν.

Τώρα επιστρέφουν με μια πιο εξελιγμένη προσέγγιση. Αντί να ρίχνουν προφανώς κακόβουλα πακέτα σε αποθετήρια, δημιουργούν αποθετήρια στο GitHub που μιμούνται τέλεια νόμιμα εργαλεία – με το ίδιο όνομα και παρόμοιες περιγραφές – αλλά με μια δυσάρεστη έκπληξη κρυμμένη στον κώδικα.

Κρυμμένα στο φως της ημέρας (απλώς λίγο πιο δεξιά)

Η τεχνική που έχουν εφαρμόσει είναι απλή αλλά αποτελεσματική. Έχετε παρατηρήσει ποτέ πώς η διεπαφή του GitHub δεν τυλίγει τις μεγάλες γραμμές κώδικα; Η Banana Squad το έκανε. Οι επιτιθέμενοι εισήγαγαν μια μακριά σειρά από κενά πριν από τον κακόβουλο κώδικα, ωθώντας τον τόσο μακριά δεξιά που είναι εκτός οπτικού πεδίου – ακόμα και αν εργάζεστε σε μια τεράστια οθόνη. Εκτός αν μετακινείστε οριζόντια σε κάθε γραμμή κώδικα (και ποιος το κάνει αυτό;), δεν θα τον εντοπίσετε ποτέ.

Αυτό το τέχνασμα παρατηρήθηκε για πρώτη φορά τον Νοέμβριο από ερευνητές στο SANS’s Internet Storm Center, που εξέτασαν ένα μόνο αποθετήριο συνδεδεμένο με το dieserbenni[.]ru. Η ReversingLabs πήρε αυτό το νήμα και το ξετύλιξε, αποκαλύπτοντας τελικά μια πολύ μεγαλύτερη επιχείρηση που περιλάμβανε 67 αποθετήρια, όλα χρησιμοποιώντας την ίδια τεχνική.

Έξυπνη ανίχνευση και αποκάλυψη

Η ομάδα της ReversingLabs χρησιμοποίησε ορθές ερευνητικές τεχνικές για να αποκαλύψει το πλήρες εύρος της εκστρατείας. Εργάστηκαν αντίστροφα από ύποπτα URLs που βρέθηκαν στα δεδομένα απειλών τους, σημειώνοντας ότι οι συμβολοσειρές ερωτήσεων συχνά περιείχαν ονόματα αποθετηρίων.

Δεδομένου ότι ένα ύποπτο όνομα από μόνο του δεν ήταν αρκετό για να προσδιορίσει ποια αποθετήρια ήταν κακόβουλα – εξάλλου, το όλο θέμα ήταν ότι μοιράζονταν ονόματα με νόμιμα έργα – οι ερευνητές συγκέντρωσαν όλα τα αποθετήρια με αντίστοιχα ονόματα και τα εξέτασαν με το Spectra Intelligence πλατφόρμα τους.

Τα περισσότερα ύποπτα αποθετήρια ήταν τα μόνα που αναφέρονταν κάτω από κάθε λογαριασμό GitHub – μια σαφής ένδειξη ότι αυτοί οι λογαριασμοί δημιουργήθηκαν για να φιλοξενήσουν κακόβουλο κώδικα. Κάθε αποθετήριο ήταν ουσιαστικά ένας λύκος με προβιά προβάτου, χρησιμοποιώντας ταυτόσημα ονόματα με νόμιμα έργα για να φαίνεται αξιόπιστο.

Περαιτέρω επίπεδα εξαπάτησης

Αν νομίζατε ότι το τέχνασμα της οριζόντιας κύλισης ήταν έξυπνο, οι τεχνικές κωδικοποίησης που χρησιμοποιήθηκαν στα κακόβουλα αρχεία Python ανεβάζουν το επίπεδο ακόμα περισσότερο. Οι επιτιθέμενοι χρησιμοποίησαν πολλαπλά επίπεδα απόκρυψης – Base64, Hex text και Fernet encryption – καθιστώντας δύσκολο για τους απλούς παρατηρητές να κατανοήσουν τι κάνει ο κώδικας.

Όταν εκτελείται, το κακόβουλο λογισμικό καλεί τους διακομιστές εντολών και ελέγχου που φιλοξενούνται κυρίως στο dieserbenni[.]ru. Τον Ιούνιο, η ReversingLabs εντόπισε μια νέα εκστρατεία που χρησιμοποιεί το 1312services[.]ru – παρόμοιο με έναν άλλο προηγουμένως αναγνωρισμένο τομέα, το 1312stealer[.]ru.

Μετά την αναφορά των ευρημάτων τους από την ReversingLabs, το GitHub αντέδρασε γρήγορα, αφαιρώντας και τα 67 αναγνωρισμένα αποθετήρια μέσα σε ένα Σαββατοκύριακο. Αυτά είναι τα καλά νέα.

Τα κακά νέα; Κανείς δεν ξέρει πόσες φορές αυτά τα αποθετήρια μπορεί να έχουν κλωνοποιηθεί ή να έχουν χρησιμοποιηθεί από ανυποψίαστους προγραμματιστές πριν αφαιρεθούν. Δεδομένης της κλίμακας, 67 αποθετήρια που περιείχαν εκατοντάδες κακόβουλα αρχεία, είναι σχεδόν βέβαιο ότι υπάρχουν θύματα που δεν έχουν ακόμη συνειδητοποιήσει ότι έχουν παραβιαστεί.

Για τον μέσο προγραμματιστή που βασίζεται στο GitHub και σε άλλες πλατφόρμες ανοιχτού κώδικα, αυτή η επίθεση αντιπροσωπεύει μια ιδιαίτερα δυσάρεστη απειλή. Εξάλλου, ο έλεγχος και η χρήση κώδικα από δημόσια αποθετήρια είναι μια συνήθης πρακτική στη σύγχρονη ανάπτυξη.

Η καλύτερη συμβουλή; Πάντα να ελέγχετε ότι το αποθετήριο που χρησιμοποιείτε περιέχει αυτό που περιμένετε και, όποτε είναι δυνατόν, να το συγκρίνετε με μια γνωστή καλή έκδοση.

Με το Git

Advertisement