Cyberbezpieczeństwo
Wyszukujesz repozytoria na GitHubie? Hakerzy już zacierają ręce
Autor. Markus Winkler/Unsplash
Wyszukiwanie repozytoriów na GitHubie niekoniecznie może być bezpieczne. Analiza ekspertów wykazała zaskakujące wnioski: za pomocą mechanizmów portalu, atakujący mogą doprowadzić do nieświadomego pobrania złośliwego repozytorium przez ofiarę, co najczęściej kończy się źle.
Takiego zastosowania repozytoriów na GitHubie dotąd nie było. Wprawdzie kilka tygodni temu, jak informowaliśmy na łamach CyberDefence24, sztuczna inteligencja potrafi zmyślać paczki które powinni pobrać programiści, jednak w tym przypadku atakujący korzystają z możliwości, jakie sam serwis udostępnia swoim użytkownikom.
Czytaj też
Mechaniki GitHuba do niecnych celów
Jak opisał Yehuda Gelb, badacz bezpieczeństwa z Checkmarx, hakerzy „łowią” swoje ofiary za pośrednictwem pozycjonowania swoich repozytoriów w wynikach wyszukiwania. Osiągają to na dwa sposoby: pozytywne ocenianie repozytoriów przez fałszywe profile oraz automatyczne aktualizowanie danego pliku co jakiś czas poprzez np. dodanie lub zmianę daty i godziny.
Takie techniki sprawiają, że algorytm widzi takie repozytorium jako aktywne oraz popularne, co powoduje przesunięcie go na szczyty list sortowania w danych przypadkach. Z kolei użytkownik szukający repozytorium nie podejrzewa w ogóle, że strona mogłaby mu wskazać repozytorium ze złośliwymi plikami, i wyłącza swoją czujność.
Czytaj też
Znakomicie ukryty kod
W repozytorium, które może pobrać nieświadomy użytkownik, w jednym z plików formatu .csproj bądź .vcxproj znajduje się złośliwy kod. Jest on ukryty tak głęboko w konkretnym pliku, że jeżeli nie jest on celem poszukiwań, to praktycznie nie da się go odnaleźć.
W momencie kompilacji repozytorium, kod sprawdza, czy użytkownik mieszka w Rosji, a następnie ściąga złośliwe pliki na komputer ofiary i tworzy stałe zadanie, wykonywane codziennie o 4 rano bez jakiegokolwiek działania ofiary.
Czytaj też
Kradną kryptowaluty, jest potencjał na więcej
Według doniesień Infosecurity Magazine, celem atakujących jest kradzież kryptowalut z cyfrowych portfeli ofiar. Istnieje jednak potencjał do wykorzystania tej metody do zupełnie innych, groźniejszych celów.
Sam Gelb wskazał również, że ściągane pliki mają celowo zwiększony rozmiar, aby popularne wykrywacze wirusów i malware nie mogły ich przeskanować. Dodatkowo apeluje do wszystkich użytkowników GitHuba, aby sprawdzali szczegóły dotyczące repozytoriów, z którymi się stykają.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:
