Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Как Banana Squad атакует GitHub разработчиков

2 мин
Компания ReversingLabs представила исследование, раскрывающее новую вредоносную кампанию, организованную группой Banana Squad. Атака ориентирована на разработчиков и распространяется через GitHub — платформу, традиционно воспринимаемую как безопасное хранилище открытого кода. В ходе операции было обнаружено 67 репозиториев, содержащих троянизированные Python-файлы, маскирующиеся под легитимные инструменты для пентестинга и администрирования. Главная особенность этой кампании — скрытность. Злоумышленники использовали длинные пробельные последовательности, чтобы спрятать вредоносный код в теле скриптов, делая его невидимым при поверхностном просмотре. Подобный приём позволил обойти простую ревизию и оставаться незамеченными дольше обычного. Используемые названия репозиториев имитировали реальные проекты, что дополнительно снижало бдительность потенциальных жертв. Каждый аккаунт, задействованный в атаке, размещал один репозиторий. Аккаунты имели яркие описания с ключевыми словами, эмодзи
Изображение: Richy Great (unsplash)
Изображение: Richy Great (unsplash)

Компания ReversingLabs представила исследование, раскрывающее новую вредоносную кампанию, организованную группой Banana Squad. Атака ориентирована на разработчиков и распространяется через GitHub — платформу, традиционно воспринимаемую как безопасное хранилище открытого кода. В ходе операции было обнаружено 67 репозиториев, содержащих троянизированные Python-файлы, маскирующиеся под легитимные инструменты для пентестинга и администрирования.

Главная особенность этой кампании — скрытность. Злоумышленники использовали длинные пробельные последовательности, чтобы спрятать вредоносный код в теле скриптов, делая его невидимым при поверхностном просмотре. Подобный приём позволил обойти простую ревизию и оставаться незамеченными дольше обычного. Используемые названия репозиториев имитировали реальные проекты, что дополнительно снижало бдительность потенциальных жертв.

Каждый аккаунт, задействованный в атаке, размещал один репозиторий. Аккаунты имели яркие описания с ключевыми словами, эмодзи и псевдослучайными строками в разделе «О нас», что указывает на их одноразовое назначение — исключительно для распространения вредоносного содержимого.

Задействованные техники маскировки включали:

  • шифрование фрагментов кода с помощью Base64, Hex, Fernet;
  • сокрытие логики с помощью форматирования и вставок;
  • отложенное выполнение загрузки полезной нагрузки с внешних ресурсов.

Связь между репозиториями и инфраструктурой Banana Squad установлена через URL-индикаторы — в частности, домены dieserbenni[.]ru и 1312services[.]ru. Эти адреса использовались для передачи команд, загрузки компонентов и извлечения данных после заражения.

Banana Squad ранее уже попадала в поле зрения специалистов, когда размещала вредоносные пакеты в PyPI. Тогда их проекты были скачаны почти 75 тыс. раз, прежде чем были удалены. В новой кампании группа сместила фокус с централизованных платформ распространения на GitHub, демонстрируя тренд в развитии атак на цепочки поставок ПО.

По мнению исследователей, разработчики остаются привлекательной целью: у них есть доступ к системам, окружениям сборки и инфраструктуре DevOps. Внедрение вредоносного компонента на этом уровне может привести к компрометации не только одной системы, но и целого цикла поставки ПО.

Оригинал публикации на сайте CISOCLUB: "ReversingLabs: группа Banana Squad использует GitHub для скрытой кампании распространения вредоносного Python-кода".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.