- WIADOMOŚCI
Wyszukujesz repozytoria na GitHubie? Hakerzy już zacierają ręce
Wyszukiwanie repozytoriów na GitHubie niekoniecznie może być bezpieczne. Analiza ekspertów wykazała zaskakujące wnioski: za pomocą mechanizmów portalu, atakujący mogą doprowadzić do nieświadomego pobrania złośliwego repozytorium przez ofiarę, co najczęściej kończy się źle.
Autor. Markus Winkler/Unsplash
Takiego zastosowania repozytoriów na GitHubie dotąd nie było. Wprawdzie kilka tygodni temu, jak informowaliśmy na łamach CyberDefence24, sztuczna inteligencja potrafi zmyślać paczki które powinni pobrać programiści, jednak w tym przypadku atakujący korzystają z możliwości, jakie sam serwis udostępnia swoim użytkownikom.
Mechaniki GitHuba do niecnych celów
Jak opisał Yehuda Gelb, badacz bezpieczeństwa z Checkmarx, hakerzy „łowią” swoje ofiary za pośrednictwem pozycjonowania swoich repozytoriów w wynikach wyszukiwania. Osiągają to na dwa sposoby: pozytywne ocenianie repozytoriów przez fałszywe profile oraz automatyczne aktualizowanie danego pliku co jakiś czas poprzez np. dodanie lub zmianę daty i godziny.
Takie techniki sprawiają, że algorytm widzi takie repozytorium jako aktywne oraz popularne, co powoduje przesunięcie go na szczyty list sortowania w danych przypadkach. Z kolei użytkownik szukający repozytorium nie podejrzewa w ogóle, że strona mogłaby mu wskazać repozytorium ze złośliwymi plikami, i wyłącza swoją czujność.
Znakomicie ukryty kod
W repozytorium, które może pobrać nieświadomy użytkownik, w jednym z plików formatu .csproj bądź .vcxproj znajduje się złośliwy kod. Jest on ukryty tak głęboko w konkretnym pliku, że jeżeli nie jest on celem poszukiwań, to praktycznie nie da się go odnaleźć.
W momencie kompilacji repozytorium, kod sprawdza, czy użytkownik mieszka w Rosji, a następnie ściąga złośliwe pliki na komputer ofiary i tworzy stałe zadanie, wykonywane codziennie o 4 rano bez jakiegokolwiek działania ofiary.
Kradną kryptowaluty, jest potencjał na więcej
Według doniesień Infosecurity Magazine, celem atakujących jest kradzież kryptowalut z cyfrowych portfeli ofiar. Istnieje jednak potencjał do wykorzystania tej metody do zupełnie innych, groźniejszych celów.
Sam Gelb wskazał również, że ściągane pliki mają celowo zwiększony rozmiar, aby popularne wykrywacze wirusów i malware nie mogły ich przeskanować. Dodatkowo apeluje do wszystkich użytkowników GitHuba, aby sprawdzali szczegóły dotyczące repozytoriów, z którymi się stykają.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?