Последние тенденции в области кибербезопасности фиксируют резкий рост количества менее очевидных атак на платформы с открытым исходным кодом, такие как GitHub. Новый игрок на этом поле — хакерская группа Banana Squad — запустила масштабную кампанию по распространению вредоносных троянских файлов на Python, замаскированных под безопасные инструменты.
Особенности кампании Banana Squad
По данным исследования, проведённого ReversingLabs, более 60 репозиториев на GitHub содержали троянские версии известных репозиториев, которые на первый взгляд выглядели как легитимные копии. С апреля 2023 года группа систематически публикует вредоносные пакеты под различными именами пользователей.
- Вредоносные средства на базе Windows способны извлекать конфиденциальные данные из приложений, браузеров и криптовалютных кошельков.
- Общее число загрузок заражённых репозиториев приближается к 75 000 до момента их обнаружения и удаления.
- Каждый троянский Python-файл содержит несколько уровней кодировки и шифрования, включая Base64, шестнадцатеричные преобразования и шифрование Fernet через сторонний криптопакет.
Сложные методы обхода обнаружения
В ноябре 2024 года Internet Storm Center компании SANS провёл детальный разбор одного из репозиториев Banana Squad и выявил уникальный метод маскировки вредоносного кода. Злоумышленники использовали особенности пользовательского интерфейса GitHub, который не переносит длинные строки кода, — с помощью больших пробелов вредоносный код выводился за пределы экрана и становился практически невидим.
Такой приём существенно осложняет задачу анализа и повышает шансы на успешное распространение вредоноса среди разработчиков и пользователей.
Методы идентификации и анализ угрозы
ReversingLabs применили продвинутые технологии дифференциального анализа и network threat intelligence для выявления вредоносных репозиториев. Основными индикаторами стали названия репозиториев, отображаемые в URL запросах, что позволило изолировать потенциально опасные кейсы. Примечательно, что учетные записи злоумышленников обычно содержали только один загрузочный репозиторий, что говорит об их целенаправленности и использовании исключительно для распространения вредоносного ПО.
- Группа использует новые домены, такие как dieserbenni.ru и 1312services.ru, проявляющие сходство с уже ранее задействованными.
- Удаление выявленных репозиториев с GitHub уже произведено.
- Структура полезной нагрузки и методы кодирования напоминают предыдущие операции Banana Squad, что свидетельствует о постоянстве используемых техник.
Выводы и рекомендации
Кампания Banana Squad подчёркивает необходимость применения передовых методов анализа для выявления сложных и замаскированных угроз в экосистеме open source. Обнаружение даже незначительных, визуально незаметных изменений способно предотвратить серьёзные инциденты безопасности.
Данный кейс демонстрирует, что традиционные меры безопасности часто недостаточны и требуют усиления за счёт внедрения технологий глубокого анализа, таких как те, что предлагает ReversingLabs.
Особое внимание стоит уделять репозиториям с подозрительными параметрами и активностью новых или малоизвестных учетных записей, а также внедрять многоуровневый мониторинг безопасности при работе с open source программным обеспечением.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Рост скрытых атак Banana Squad на репозитории GitHub в 2024 году".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.