Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
11.04.2024

Keyzetsu 2.0? Криптоклипперы атакуют пользователей GitHub

Злоумышленники начали использовать функцию поиска на GitHub для обмана пользователей, которые ищут популярные репозитории, заставляя их скачивать поддельные пакеты, содержащие вредоносное ПО.

О последнем нападении на цепочку поставок открытого программного обеспечения сообщила компания Checkmarx , отмечая, что зловредный код скрывается в файлах проектов Microsoft Visual Code и предназначен для загрузки последующих этапов вредоносных программ с удалённых URL.

Согласно исследователю безопасности Йехуде Гельбу, преступники создают вредоносные репозитории с популярными названиями и темами, используя автоматизированные обновления и фальшивые звёзды (местный критерий качества) для повышения их рейтинга в поиске, вводя пользователей в заблуждение. Это действие придаёт незаконным репозиториям видимость легитимности, обманывая разработчиков и заставляя их произвести загрузку.

Эксперты Checkmarx быстро нашли в даркнете услуги по накрутке вышеупомянутых звёзд за деньги. В предыдущих мошеннических кампаниях злоумышленники добавляли сотни или тысячи звёзд к своим репозиториям, но в недавних атаках они выбрали более скромное число звёзд, вероятно, чтобы не вызвать подозрений или банально сэкономить.

Многие из поддельных репозиториев маскируются под легитимные проекты, связанные с популярными играми и инструментами, усложняя их отличие от безопасного кода.

Также специалистами наблюдалось, что некоторые репозитории загружают зашифрованный файл «.7z» с исполняемым файлом «feedbackAPI.exe», размером 750 МБ. Столь большой размер, вероятно, обусловлен мерами обода антивирусной проверки.

В конечном итоге запускается вредоносное ПО, которое заменяет адреса кошельков криптовалют, скопированные в буфер обмена, на адреса, контролируемые атакующими. По информации Checkmarx, данный зловредный софт имеет некоторые схожести с известным клиппером Keyzetsu, однако не является таковым на сто процентов.

Открытие исследователей подчёркивает, что разработчикам крайне важно тщательно проверять исходный код при его скачивании из открытых репозиториев, а также не опираться только лишь на репутацию репозитория, так как её можно легко подделать.