В марте 2024 года специалисты по кибербезопасности выявили серию целенаправленных атак на различные проекты, размещенные на платформе GitHub. Злоумышленники используют изощренную тактику, пытаясь внедрить вредоносный код через замаскированные пулл реквесты, что напоминает недавнюю атаку на проект xz Utils.
Анатомия атаки: как работает вредоносный код
Первым тревогу поднял сооснователь ИИ-стартапа Exo Labs Алекс Хима, обнаружив подозрительный пулл реквест в репозитории EXO. Злоумышленники попытались внедрить в файл models.py последовательность чисел, которая при декодировании превращалась в вредоносный Python-скрипт. Код был предназначен для загрузки и выполнения произвольных команд с удаленного сервера, потенциально открывая доступ к системам пользователей.
Масштаб и распространение угрозы
Исследователи из Malcore идентифицировали как минимум 18 аналогичных вредоносных пулл реквестов, направленных на различные проекты. Среди атакованных репозиториев оказался популярный инструмент yt-dlp. Анализ показывает, что большинство вредоносных коммитов связаны с аккаунтами, предположительно базирующимися в Индонезии.
Тактика социальной инженерии
Злоумышленники использовали сложную схему подмены личности, создавая фальшивые аккаунты и выдавая себя за известного ИБ-исследователя Майка Белла. Были обнаружены как минимум два аккаунта — evildojo666 и darkimage666, которые пытались распространять вредоносный код, одновременно дискредитируя репутацию специалиста.
Данный инцидент подчеркивает важность тщательной проверки всех изменений кода перед их принятием в репозиторий. Рекомендуется использовать автоматизированные инструменты анализа кода, проводить код-ревью и внимательно проверять учетные данные контрибьюторов. Организациям следует также рассмотреть внедрение дополнительных мер безопасности, таких как цифровая подпись коммитов и двухфакторная аутентификация для всех разработчиков.
