СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
9 марта
#Dev#ИБ

Новая угроза: вредоносные инструменты для тестирования на GitHub

Новая угроза: вредоносные инструменты для тестирования на GitHub

Недавние расследования выявили постоянную и изощренную кампанию, направленную против тестеров на проникновение на GitHub. Операция организована хакером, выдающим себя за законного разработчика Red Team, и продолжается более года.

Маскировка под легитимность

Атака охватывает 38 отдельных вредоносных аккаунтов на GitHub, которые распространяют проекты с вредоносными бэкдорами под видом полезных инструментов для тестирования на проникновение. Взломанные аккаунты имеют высокоактивные профили и публикуют исходные коды, якобы легитимных инструментов.

Скрытые угрозы

При более тщательном исследовании выясняется, что в проекты внедрён вредоносный код, который позволяет злоумышленнику выполнять команды удаленного управления на устройствах жертв после компиляции. Вредоносная активность тщательно скрыта в:

  • файлах проекта Visual Studio;
  • тегах PreBuildEvent в файлах «.csproj»;
  • скриптах, используемых для сборки.

Методы уклонения

Используемые скрипты применяют несколько уровней обфускации, включая кодировку Base64, чтобы замаскировать полезную нагрузку. После успешного выполнения скомпилированного кода генерируются:

  • вредоносные файлы VBScript;
  • обфускированный код PowerShell.

Инфраструктура и возможности

Инфраструктура кампании включает как минимум четыре канала управления (C2), позволяющих хакеру активировать бэкдоры в определённое время или при определённых условиях. Анализ кода удаленного управления на JavaScript продемонстрировал следующие возможности:

  • уклонение от сканирования системы безопасности;
  • изменение исключений defender.

Угрозы для экосистемы с открытым исходным кодом

Тактика хакера подчеркивает смещение акцента в сторону сообщества разработчиков с открытым исходным кодом. Использование доверия, оказываемого этим платформам, представляет не только прямую угрозу для разработчиков, но и подрывает целостность экосистемы в целом.

Необходимость повышения бдительности

Выявление и анализ вредоносных учетных записей подчёркивают настоятельную необходимость повышения бдительности сообщества разработчиков. Постоянный мониторинг зависимостей, полученных из общедоступных репозиториев, и разработка эффективных средств защиты от таких скрытых угроз будут иметь решающее значение.

Этот инцидент иллюстрирует эволюцию методов злоумышленников, которые используют платформы с открытым исходным кодом в неблаговидных целях.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: