Apiiro-dan olan təhlükəsizlik tədqiqatçıları GitHub-da müxtəlif layihə anbarlarının dəyişdirilmiş klonlarını yerləşdirən zərərli aktyorları müəyyən ediblər və zərərli hərəkətləri yerinə yetirmək üçün nəzərdə tutulmuş kiçik dəyişikliklərlə. Tipik olaraq, zərərli anbar eyni adla yaradılır, lakin başqa təşkilata təyin edilir ("github.org/org1/proj" -> "github.org/org2/proj") və ya bir qədər fərqli adla (typsquatting), qurbanların fərqi görməyəcəyi və zərərli şəkildə dəyişdirilmiş kodu istifadə etməsi ümidi ilə. İstifadəçiləri cəlb etmək üçün zərərli anbarlara keçidlər müxtəlif sosial şəbəkələrdə, forumlarda və söhbət otaqlarında aktiv şəkildə yerləşdirilir.
100-dən çox belə repozitoriya barədə məlumat verilib, lakin tədqiqatçılar hesab edirlər ki, zərərli dəyişiklikləri ehtiva edən hosting anbarlarının ümumi sayı milyonlarla ola bilər, çünki avtomatik yaradılmış depoların böyük əksəriyyəti yerləşdirildikdən bir neçə saat sonra GitHub tərəfindən silinir. Yüklənmiş depolarda zərərli əlavələri aşkar etmək üçün istifadə edilə bilən maskalara aşağıdakılar daxildir: exec(Fernet exec(requests exec(__import exec(bayt exec(“””\niimport exec(compile __import__(“builtins”).exec()
Əlavə edilmiş zərərli kod, işə salındıqdan sonra brauzerdə saxlanılan hesab parametrləri, tokenlər, şifrələr və kukilər kimi həssas məlumatları axtaran və onları göndərən BlackCap-Grabber-in modifikasiya edilmiş versiyasıdır. server Zərərli kod həmçinin bufer vasitəsilə ötürülən kriptovalyuta ünvanlarının dəyişdirilməsini dəstəkləyir, ekran görüntüləri yarada və idarəetmədən əmrlər ala bilir. server (C&C)
Mənbə: opennet.ru
