Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Имперсонация Moltbot: угроза supply-chain через клонированный репозиторий

1
3 мин
Переименование проекта с открытым исходным кодом Clawdbot в Moltbot, вызванное спором о товарном знаке, спровоцировало серию оппортунистических кампаний по имперсонации. Вскоре после смены имени появились typosquatting‑домены и клонированный репозиторий на GitHub, который выдавал себя за создание Peter Steinberger. Эксперты предупреждают: текущая структура репозитория не содержит явного вредоносного кода, однако он может служить стратегической базой для будущей атаки на supply-chain. После переименования проекта злоумышленники оперативно зарегистрировали домены, имитирующие Moltbot (typosquatting), и разместили копию репозитория на GitHub. Клонированный репозиторий был оформлен так, чтобы создать впечатление подлинности и связать себя с легитимным разработчиком проекта — Peter Steinberger. Для усиления доверия злоумышленники использовали обманные schema.org метаданные, которые ложно приписывали авторство Peter Steinberger и указывали на его законные GitHub и X профили. Такая подделка с
Оглавление

Переименование проекта с открытым исходным кодом Clawdbot в Moltbot, вызванное спором о товарном знаке, спровоцировало серию оппортунистических кампаний по имперсонации. Вскоре после смены имени появились typosquatting‑домены и клонированный репозиторий на GitHub, который выдавал себя за создание Peter Steinberger. Эксперты предупреждают: текущая структура репозитория не содержит явного вредоносного кода, однако он может служить стратегической базой для будущей атаки на supply-chain.

Что произошло

После переименования проекта злоумышленники оперативно зарегистрировали домены, имитирующие Moltbot (typosquatting), и разместили копию репозитория на GitHub. Клонированный репозиторий был оформлен так, чтобы создать впечатление подлинности и связать себя с легитимным разработчиком проекта — Peter Steinberger.

Для усиления доверия злоумышленники использовали обманные schema.org метаданные, которые ложно приписывали авторство Peter Steinberger и указывали на его законные GitHub и X профили. Такая подделка создавала четкую, но ложную, идентичность и повышала вероятность того, что пользователи воспримут ресурсы как законные.

«Отсутствие вредоносного кода указывает не на непосредственную вредоносную кампанию, а скорее на стратегическую основу для возможной будущей атаки на supply-chain.»

Что обнаружил аудит

  • Клонированный репозиторий был скоординированно подготовлен для имитации Moltbot, включая подделку метаданных schema.org.
  • Статический аудит не выявил явных следов malware в текущей структуре репозитория.
  • Репозиторий перенаправляет на несанкционированные ресурсы и демонстрирует искусственное завышение показателей популярности.
  • Инфраструктура сделана так, чтобы выглядеть легитимной — что повышает риск непреднамеренной установки пользователями.

Оценка рисков

Наличие чистого на данный момент кода не устраняет угрозу. Такая тактика характерна для атак на цепочки поставок: злоумышленники создают доверительное окружение вокруг проекта, чтобы в будущем распространить вредоносные обновления через тот же репозиторий или связанные каналы.

Ключевые риски:

  • Пользователи могут довериться фальшивому репозиторию и установить ПО до появления вредоносных изменений.
  • Поддельные метаданные и коррелирующие профили усложняют проверку подлинности источников.
  • Стимулирование ложной популярности повышает шанс, что сторонние разработчики и CI/CD интегрируют такой репозиторий в свои цепочки поставок.

Рекомендации для разработчиков и пользователей

Заинтересованным сторонам рекомендуется проявлять повышенную осторожность и проверять источники обновлений. Конкретные меры:

  • Подтверждайте авторство: сверяйте email и публичные ключи разработчиков с официальными профилями на GitHub и X.
  • Проверяйте подписи релизов и используйте GPG‑подписи для бинарных и исходных релизов.
  • Избегайте установки пакетов/репозиториев с подозрительной атрибуцией или с доказательствами typosquatting.
  • Анализируйте историю коммитов и учетные записи, делая акцент на непрерывность активности и репутацию контрибьютеров.
  • Ограничьте автоматическое принятие обновлений: в CI/CD используйте проверенные зеркала, pin‑версии зависимостей и reproducible builds.
  • Проводите регулярный статический и динамический анализ кода при интеграции внешних зависимостей.
  • Мониторьте домены и репозитории проекта на предмет появления клонов и подозрительных перенаправлений.

Вывод

Инцидент вокруг переименования Clawdbot в Moltbot демонстрирует типичную тактику opportunistic actors: воспользоваться шумом вокруг проекта и создать видимость легитимности для потенциальной будущей атаки на supply-chain. Несмотря на отсутствие явного вредоносного кода сейчас, комбинация typosquatting доменов, клонированного репозитория и поддельных schema.org метаданных представляет значительную угрозу. Бдительность, проверка атрибуции и применение практик безопасной интеграции — ключевые меры по снижению риска.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Имперсонация Moltbot: угроза supply-chain через клонированный репозиторий".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Нейронные сети (Neural Networks)
80,9 тыс интересуются