Apiiron tietoturvatutkijat ovat havainneet hyökkääjien toiminnan, jotka julkaisevat GitHubissa eri projektivarastojen modifioituja klooneja, joihin tehdään pieniä muutoksia haitallisten toimien toteuttamiseksi. Yleensä haitallinen arkisto luodaan samalla nimellä, mutta liitettynä eri organisaatioon ("github.org/org1/proj" -> "github.org/org2/proj") tai jolla on hieman eri nimi kuin alkuperäinen (typesquatting) sillä odotuksella, että uhri ei huomaa eroja ja käyttää koodia haitallisiin muutoksiin. Käyttäjien houkuttelemiseksi linkit haitallisiin tietovarastoihin julkaistaan aktiivisesti erilaisissa sosiaalisissa verkostoissa, foorumeilla ja chateissa.
On raportoitu, että yli 100 XNUMX tällaista tietovarastoa on tunnistettu, mutta tutkijoiden mukaan haitallisia muutoksia sisältävien isännöityjen tietovarastojen kokonaismäärä voi olla miljoonia, koska GitHub poistaa suurimman osan automaattisesti luoduista arkistoista muutaman tunnin kuluttua. ne on lähetetty. Maskeja, joita voidaan käyttää haitallisten lisäosien havaitsemiseen ladatuissa arkistoissa, ovat: exec(Fernet exec(requests exec(__import exec(bytes exec("""\nimport exec(kääntä __import__("builtins").exec(
Liitteenä oleva haittaohjelma on muunneltu versio BlackCap-Grabberista. Käynnistyksen jälkeen se etsii arkaluonteisia tietoja, kuten selaimeen tallennettuja käyttäjätietoja, tokeneita, salasanoja ja evästeitä, ja lähettää ne hyökkääjän palvelimelle. Haittaohjelma tukee myös leikepöydän kautta siirrettyjen kryptovaluuttaosoitteiden väärentämistä, voi luoda kuvakaappauksia ja hyväksyä komentoja komento- ja ohjauspaneelista (C&C). palvelin (C&C)
Lähde: opennet.ru
