Sécherheetsfuerscher aus Apiiro hunn d'Aktivitéit vun den Ugräifer identifizéiert, déi modifizéiert Klonen vu verschiddene Projektrepositories op GitHub posten, an deenen kleng Ännerungen gemaach gi fir béiswëlleg Handlungen ze maachen. Als Regel gëtt e béiswëlleg Repository mam selwechten Numm erstallt, awer mat enger anerer Organisatioun verbonnen ("github.org/org1/proj" -> "github.org/org2/proj"), oder mat engem Numm liicht anescht wéi d'Original (typesquatting), mat der Erwaardung datt d'Affer d'Ënnerscheeder net bemierken an de Code mat béiswëllegen Ännerungen benotzen. Fir Benotzer ze lackele, Linken op béiswëlleg Repositories ginn aktiv op verschiddene sozialen Netzwierker, Foren an Chats gepost.
Et gëtt gemellt datt méi wéi 100 Tausend sou Repositories identifizéiert goufen, awer laut Fuerscher kann d'total Unzuel vun gehoste Repositories mat béiswëlleg Ännerungen an de Millioune sinn, well déi grouss Majoritéit vun automatesch erstallt Repositories e puer Stonnen no GitHub geläscht ginn. si gepost. Masken déi benotzt kënne fir d'Präsenz vu béiswëllegen Inserts a geluedenen Repositories z'entdecken enthalen: exec(Fernet exec(requests exec(__import exec(bytes exec(“””\nimport exec(compile __import__(“builtins”).exec(
De bäigefügte béiswëllege Code ass eng modifizéiert Versioun vu BlackCap-Grabber, déi, nodeems se gestart gouf, no sensiblen Donnéeën sicht, wéi Kontastellungen, Tokens, Passwierder a Cookien, déi am Browser gespäichert sinn, a se un ... schéckt. Server Attacker. De béiswëllege Code ënnerstëtzt och d'Ersetzung vu Krypto-Adressen, déi iwwer d'Zwëschespäicher transferéiert ginn, kann Screenshots erstellen a Befeeler vum Kontrollsystem kréien. Server (C&C)
Source: opennet.ru
