Conform cercetărilor efectuate de Apiiro, acum există peste 100 de mii de depozite infectate pe GitHub care imită proiecte reale.
Cu ajutorul lor, hackerii obțin acreditări de la computerul victimei. Numărul acestor depozite continuă să crească.
Experții de la Apiiro au atras atenția asupra atacurilor frecvente ale hackerilor care implică înlocuirea numelui.
Pentru aceasta, atacatorii creează un depozit identic cu un proiect popular pe GitHub, cu cel mai asemănător nume.
Hackerii speră că utilizatorul va face o greșeală de tipar atunci când introduce numele și va descărca codul infectat pe mașina lor.
Acest tip de atac este adesea folosit în managerii de pachete, deoarece interacțiunea cu aceștia are loc de obicei prin linia de comandă.
În ea, este mai puțin probabil ca utilizatorul să-și observe greșeala în timp util.
Sau, atunci când căutați pe GitHub, va selecta contul de hacker în loc de cel original.
Pentru a le îndeplini, atacatorii clonează mai întâi un depozit popular și îi furnizează programe de descărcare terță parte și cod rău intenționat. După aceasta, depozitul sub numele original este publicat pe platformă. În continuare, hackerii încep să-l promoveze pe forumuri specializate și rețele sociale sub pretextul de a fi originali. Întregul proces de clonare și republicare este automatizat, permițând ca multe depozite periculoase să fie postate pe platformă în fiecare zi.
Codul rău intenționat de pe computerul victimei începe de obicei să descarce software terță parte în fundal. Studiul notează că atacatorii folosesc cel mai adesea BlackCap Grabber. Utilitarul fură acreditări, cookie-uri și alte informații confidențiale, trimițându-le către serverele atacatorilor.
GitHub are încorporată protecție forkbomb care se asigură automat că depozitele nu au prea multe copii recent. Dacă sistemul observă că unul dintre depozite începe să se comporte în acest fel, atunci furcăturile suspecte sunt blocate. Cercetătorii observă că sistemul șterge milioane de astfel de depozite și este nevoie de câteva ore pentru a le identifica. Dar aproximativ 1% dintre furcile infectate rămân încă pe platformă.
Este de notat că utilizatorii trebuie să verifice depozitele cu care lucrează. În caz contrar, acest lucru poate duce la scurgeri de date confidențiale. Companiile ar trebui să aibă grijă și atenție deosebită pentru a evita tragerea de coduri rău intenționate în propriul lanț de aprovizionare cu software.
