Фахівці з кібербезпеки виявили масштабну кампанію цілеспрямованих атак на популярні проєкти платформи GitHub у березні 2024 року. Зловмисники застосовують витончену тактику впровадження шкідливого коду через замасковані пул реквести, що нагадує нещодавній інцидент з проєктом xz Utils. Експерти відзначають зростання складності та витонченості подібних атак.
Технічний аналіз шкідливого коду та механізм атаки
Перший випадок було зафіксовано в репозиторії EXO, де зловмисники намагались інтегрувати закодовану послідовність Python-команд у файл models.py. Детальний аналіз показав, що після декодування послідовність перетворювалась на шкідливий скрипт, здатний встановлювати віддалене з’єднання та виконувати довільний код на системах користувачів. Особливу небезпеку становить використання складних методів обфускації, що ускладнює виявлення загрози стандартними засобами захисту.
Географія та масштаби кіберзагрози
Дослідницька група Malcore ідентифікувала щонайменше 18 шкідливих пул реквестів, спрямованих на різні проєкти, включаючи популярний інструмент yt-dlp. Аналіз IP-адрес та поведінкових патернів вказує на те, що більшість атак здійснюється з території Індонезії. Експерти прогнозують подальше зростання кількості подібних інцидентів через високу ефективність застосованих методів соціальної інженерії.
Методи соціальної інженерії та крадіжка ідентичності
Зловмисники розробили складну схему підміни особистості, створюючи фейкові акаунти та видаючи себе за відомого дослідника кібербезпеки Майка Белла. Виявлено два основних облікових записи – evildojo666 та darkimage666, які активно використовувались для розповсюдження шкідливого коду та одночасної дискредитації репутації фахівця.
Для захисту від подібних атак рекомендується впровадити комплексний підхід до безпеки розробки, включаючи: автоматизований аналіз коду, обов’язкове код-рев’ю від кількох розробників, верифікацію цифрових підписів комітів та використання двофакторної автентифікації. Організаціям також варто розглянути можливість впровадження систем виявлення аномалій та проведення регулярних аудитів безпеки репозиторіїв.
