Специалисты по кибербезопасности обнаружили новую волну атак: злоумышленники разместили более 67 репозиториев на GitHub, которые якобы предлагают Python-инструменты для взлома, но на деле содержат троянские полезные нагрузки.
Эта кампания, получившая название Banana Squad по версии ReversingLabs, стала логичным продолжением прошлогодней атаки с поддельными Python-пакетами в репозитории PyPI. Тогда вредоносные программы скачали свыше 75 тысяч раз — они крали данные с компьютеров на Windows.
Эти данные дополняют отчет SANS Internet Storm Center за ноябрь 2024 года, где описывался инструмент «steam-account-checker» на GitHub. Он тайно загружал дополнительные Python-скрипты, которые заражали криптокошелек Exodus, похищая личные данные и отправляя их на сторонние серверы.
Тщательный анализ репозиториев и инфраструктуры злоумышленников помог выявить 67 троянских проектов, которые маскируются под полностью легитимные — с идентичными названиями и внешним видом.
Судя по всему, атака была нацелена на пользователей, искавших программы для очистки аккаунтов и игровые читы — включая Discord account cleaner, Fortnite External Cheat, TikTok username checker и инструменты массовой проверки PayPal-аккаунтов. Все опасные репозитории уже удалены с GitHub.
«Трояны и бэкдоры в открытом исходном коде на GitHub становятся всё более частой угрозой — это растущий вектор атак на цепочки поставок ПО», — объяснил исследователь ReversingLabs Роберт Симмонс.
«Разработчикам важно всегда внимательно проверять, действительно ли репозиторий содержит заявленный функционал.»
GitHub — новая площадка для распространения вредоносного ПО
GitHub всё чаще превращается в площадку для распространения зловредов. На этой неделе Trend Micro рассказала о 76 вредоносных репозиториях, созданных группой под названием Water Curse, которые обрабатывают многоступенчатое вредоносное ПО.
Эти программы воруют учётные данные, информацию из браузеров и сессионные токены, а также дают хакерам удалённый постоянный доступ к заражённым устройствам.
Кроме того, Check Point выявила кампанию, в которой злоумышленники используют сервис Stargazers Ghost Network для атак на пользователей Minecraft с помощью вредоносного Java-кода. Этот сервис — сеть поддельных аккаунтов GitHub, распространяющих вредоносные ссылки и программы через фишинговые репозитории.
«Такие аккаунты распространяют вирусы и ссылки, а также создают видимость легитимности, ставя звёздочки, форкая репозитории и подписываясь на них», — пояснили эксперты Check Point.
Компания оценила, что такие «призрачные» аккаунты GitHub — лишь часть большой схемы, включающей аналогичные аккаунты на других платформах и образующей целую экосистему Distribution-as-a-Service (DaaS).
Ещё в апреле 2024 года Checkmarx обнаружила, что злоумышленники из Stargazers Ghost Network активно используют фальшивые звёздочки и частые обновления, чтобы искусственно поднять популярность репозиториев в поиске GitHub.
Эти проекты маскируются под популярные игры, читы, трекеры цен криптовалют и прогнозы для азартных игр вроде crash-betting.
Подобные кампании напоминают атаки на новичков в киберпреступном сообществе, которые ищут простые вредоносные программы и инструменты для взлома на GitHub — заражённые репозитории с бэкдорами воруют у них данные.
Так, в этом месяце Sophos выявила репозиторий Sakura-RAT, где вредоносный код заражает пользователей прямо во время компиляции, устанавливая трояны и удалённые «бэкдоры» (RAT) — они крадут данные и дают злоумышленникам доступ.
Обнаруженные репозитории используют четыре типа бэкдоров через события Visual Studio PreBuild, Python-скрипты, файлы заставок и JavaScript. Они умеют воровать данные, делать скриншоты, обмениваться сообщениями через Telegram и загружать дополнительные вредоносные модули, включая AsyncRAT, Remcos RAT и Lumma Stealer.
Всего Sophos выявила не менее 133 заражённых репозиториев в этой кампании: 111 содержали PreBuild-бэкдор, остальные — Python-, заставочные и JavaScript-бэкдоры.
По мнению Sophos, это часть масштабной DaaS-операции, действующей с августа 2022 года, которая использует тысячи аккаунтов GitHub для распространения троянских репозиториев с игровыми читами, эксплойтами и хакерскими инструментами.
Точная схема распространения остаётся неизвестной, но предполагают, что злоумышленники также распространяют ссылки на заражённые репозитории через Discord-серверы и YouTube-каналы.
«Пока неясно, связана ли эта кампания напрямую с описанными ранее — но такой подход показал свою эффективность и, вероятно, будет использоваться и дальше», — подытожили в Sophos. «В будущем атаки могут переключиться на другие группы пользователей, помимо новичков-киберпреступников и геймеров, которые пользуются читами.»
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru