К новостям о вирусах, которые находят в самых разных и, казалось бы, абсолютно защищенных местах, таких, например, как магазины Google Play или Microsoft, уже все привыкли. Однако недавняя история своим масштабом удивила даже экспертов.
Исследователи из Leiden Institute of Advanced Computer Science обнаружили в GitHub тысячи фейковых репозиториев, маскирующихся под «proof-of-concept»(PoC) эксплойты.
Автор! Кхмм … Ты сейчас с кем разговаривал? Переведи на русский!
Ну да, ну да … Итак, у нас есть GitHub — одна из самых крупных и уж точно самая известная в сети платформа для хранения и предоставления программного кода. А PoC эксплойт — это инструмент так называемого «белого хакера» или киберисследователя, который по просьбе компаний и организаций проверяет защиту их данных и устраивает что-то вроде «учений», атакуя эти компании и организации и выявляя возможные уязвимости систем кибербезопасности. Иными словами, схема, по которой исследователь находит и использует подходящие PoC для проверки очередной компании именно на GitHub, весьма распространена. И ребята из Leiden Institute сообщают: вероятность «подцепить заразу» на этой платформе, выбрав фейковый PoC, сегодня составляет «бодрящие» 10.3%!
В фальшивых инструментах, маскирующихся под бравые эксплойты, уже обнаружена большая палитра самых разных зловредов — от вредоносных скриптов и троянов удалённого доступа до вируса Cobalt Strike. Это означает, что использованный по назначению, такой PoC может собирать конфиденциальные данные о пользователе системы, его IP адресе, компьютере и софте.
В соответствии с информацией, размещенной Leiden Institute, на данный момент проанализировано более 47,300 репозиториев, хранящихся на GitHub. Бинарный анализ отработал 6160 исполняемых файлов, из которых 2,164 содержали в себе вредоносный код. 4,893 репозиториев признаны фальшивыми распространителями атакующих скриптов и других неприятностей
Меры безопасности
GitHub — это платформа, где «спасение утопающих — дело рук самих утопающих». Иными словами, контент практически не модерируется, а значит именно юзер ответственен за собственную безопасность. Один из представителей команды исследователей, которым удалось обнаружить наличие проблемы, Ядмани Суфиан (Yadmani Soufian), рассказал, как по его мнению грамотный юзер GitHub должен тестировать каждый скачанный с платформы PoC:
- Тщательно прочитать код перед тем, как запускать его в систему или локальную сеть
- Если код слишком сложный или запутанный и потому требует большого количества времени для его тестирования, которого у вас нет, то необходимо использовать любую «песочницу», то есть замкнутую среду, например, виртуальную машину, чтобы безопасно для системы проверить файл на наличие подозрительного сетевого трафика
- Использовать опенсорсные инструменты вроде VirusTotal для бинарного анализа
Исследователи сообщили, что GitHub уже в курсе проблемы с фейковыми PoC. Платформа начала очищение своих баз, однако процесс этот небыстрый и скорее всего займет некоторое время. Ядмани Суфиан же сообщает, что собирается заняться разработкой быстрой и информативной автоматической системы, которая предупреждала бы платформу и пользователей о загруженном зловредном коде.