СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:42
#ИБ

Имперсонация Moltbot: угроза supply-chain через клонированный репозиторий

Переименование проекта с открытым исходным кодом Clawdbot в Moltbot, вызванное спором о товарном знаке, спровоцировало серию оппортунистических кампаний по имперсонации. Вскоре после смены имени появились typosquatting‑домены и клонированный репозиторий на GitHub, который выдавал себя за создание Peter Steinberger. Эксперты предупреждают: текущая структура репозитория не содержит явного вредоносного кода, однако он может служить стратегической базой для будущей атаки на supply-chain.

Что произошло

После переименования проекта злоумышленники оперативно зарегистрировали домены, имитирующие Moltbot (typosquatting), и разместили копию репозитория на GitHub. Клонированный репозиторий был оформлен так, чтобы создать впечатление подлинности и связать себя с легитимным разработчиком проекта — Peter Steinberger.

Для усиления доверия злоумышленники использовали обманные schema.org метаданные, которые ложно приписывали авторство Peter Steinberger и указывали на его законные GitHub и X профили. Такая подделка создавала четкую, но ложную, идентичность и повышала вероятность того, что пользователи воспримут ресурсы как законные.

«Отсутствие вредоносного кода указывает не на непосредственную вредоносную кампанию, а скорее на стратегическую основу для возможной будущей атаки на supply-chain.»

Что обнаружил аудит

  • Клонированный репозиторий был скоординированно подготовлен для имитации Moltbot, включая подделку метаданных schema.org.
  • Статический аудит не выявил явных следов malware в текущей структуре репозитория.
  • Репозиторий перенаправляет на несанкционированные ресурсы и демонстрирует искусственное завышение показателей популярности.
  • Инфраструктура сделана так, чтобы выглядеть легитимной — что повышает риск непреднамеренной установки пользователями.

Оценка рисков

Наличие чистого на данный момент кода не устраняет угрозу. Такая тактика характерна для атак на цепочки поставок: злоумышленники создают доверительное окружение вокруг проекта, чтобы в будущем распространить вредоносные обновления через тот же репозиторий или связанные каналы.

Ключевые риски:

  • Пользователи могут довериться фальшивому репозиторию и установить ПО до появления вредоносных изменений.
  • Поддельные метаданные и коррелирующие профили усложняют проверку подлинности источников.
  • Стимулирование ложной популярности повышает шанс, что сторонние разработчики и CI/CD интегрируют такой репозиторий в свои цепочки поставок.

Рекомендации для разработчиков и пользователей

Заинтересованным сторонам рекомендуется проявлять повышенную осторожность и проверять источники обновлений. Конкретные меры:

  • Подтверждайте авторство: сверяйте email и публичные ключи разработчиков с официальными профилями на GitHub и X.
  • Проверяйте подписи релизов и используйте GPG‑подписи для бинарных и исходных релизов.
  • Избегайте установки пакетов/репозиториев с подозрительной атрибуцией или с доказательствами typosquatting.
  • Анализируйте историю коммитов и учетные записи, делая акцент на непрерывность активности и репутацию контрибьютеров.
  • Ограничьте автоматическое принятие обновлений: в CI/CD используйте проверенные зеркала, pin‑версии зависимостей и reproducible builds.
  • Проводите регулярный статический и динамический анализ кода при интеграции внешних зависимостей.
  • Мониторьте домены и репозитории проекта на предмет появления клонов и подозрительных перенаправлений.

Вывод

Инцидент вокруг переименования Clawdbot в Moltbot демонстрирует типичную тактику opportunistic actors: воспользоваться шумом вокруг проекта и создать видимость легитимности для потенциальной будущей атаки на supply-chain. Несмотря на отсутствие явного вредоносного кода сейчас, комбинация typosquatting доменов, клонированного репозитория и поддельных schema.org метаданных представляет значительную угрозу. Бдительность, проверка атрибуции и применение практик безопасной интеграции — ключевые меры по снижению риска.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: