Los investigadores de seguridad de Apiiro han identificado la actividad de los atacantes que publican clones modificados de varios repositorios de proyectos en GitHub, en los que se realizan pequeños cambios destinados a cometer acciones maliciosas. Como regla general, se crea un repositorio malicioso con el mismo nombre, pero adjunto a una organización diferente (“github.org/org1/proj” -> “github.org/org2/proj”), o con un nombre ligeramente diferente de el original (typesquatting), con la expectativa de que la víctima no note las diferencias y utilice el código con cambios maliciosos. Para atraer a los usuarios, se publican activamente enlaces a repositorios maliciosos en varias redes sociales, foros y chats.
Se informa que se han identificado más de 100 mil repositorios de este tipo, pero según los investigadores, el número total de repositorios alojados con cambios maliciosos puede ser de millones, ya que GitHub elimina la gran mayoría de los repositorios creados automáticamente unas horas después. están publicados. Las máscaras que se pueden utilizar para detectar la presencia de inserciones maliciosas en repositorios cargados incluyen: exec(Fernet exec(requests exec(__import exec(bytes exec(“””\nimport exec(compile __import__(“builtins”).exec(
El código malicioso adjunto es una versión modificada de BlackCap-Grabber, que, una vez ejecutado, busca datos confidenciales como configuraciones de cuenta, tokens, contraseñas y cookies almacenadas en el navegador y los envía a servidor atacantes. El código malicioso también admite la sustitución de direcciones de criptomonedas transferidas a través del portapapeles, puede crear capturas de pantalla y recibir comandos del control. servidor (C&C)
Fuente: opennet.ru
