Исследователи компании Apiiro рассказали, что сейчас на GitHub существует более 100 тыс. заражённых репозиториев, которые мимикрируют под реальные проекты. С помощью них хакеры получают с компьютера жертвы учётные данные. Количество таких репозиториев продолжает расти.
Эксперты из Apiiro обратили внимание на частую хакерскую атаку с подменой названий. Для неё злоумышленники создают репозиторий, идентичный популярному проекту на GitHub, с максимально похожим названием. Хакеры рассчитывают, что пользователь сделает опечатку во время ввода названия и загрузит на свою машину заражённый код. Этот тип атаки часто применяется в менеджерах пакетов, ведь взаимодействие с ними обычно происходит через командную строку. В ней у пользователя меньше шансов своевременно заметить свою ошибку.
Выяснилось, что такие атаки не менее популярны и для GitHub. Для их осуществления злоумышленники сначала клонируют популярный репозиторий и снабжают его сторонними загрузчиками и вредоносным кодом. После этого репозиторий под исходным названием публикуется на платформе. Далее хакеры начинают продвигать его на профильных форумах и в социальных сетях под видом оригинального. Весь процесс клонирования и повторной публикации автоматизирован, что позволяет ежедневно размещать на платформе множество опасных репозиториев.
Вредоносный код на компьютере жертве обычно начинает фоновую загрузку стороннего софта. В исследовании отмечается, что чаще всего злоумышленники используют BlackCap Grabber. Утилита похищает учётные данные, файлы cookie и другую конфиденциальную информацию, отправляя её на серверы злоумышленников.
У GitHub есть встроенная защита от fork-бомб, которая автоматически следит за тем, чтобы у репозиториев не появлялось слишком много копий за последнее время. Если система замечает, что какой-то из репозиториев начинает себя так вести, то подозрительные форки блокируются. Исследователи отмечают, что система удаляет миллионы таких репозиториев, а на выявление уходит несколько часов. Но около 1% заражённых форков всё равно остаётся на платформе.
Отмечается, что пользователям необходимо проверять репозитории, с которыми они работают. Иначе это может привести к утечке конфиденциальных данных. Особую внимательность и осторожность стоит проявлять компаниям, чтобы не перетаскивать вредоносный код в цепочку поставок собственного ПО.
