Theo các nhà nghiên cứu tại Checkmarx, tội phạm mạng đang triển khai một kỹ thuật mới để thao túng các nhà phát triển sử dụng GitHub và lừa họ tải xuống phần mềm độc hại, theo các nhà nghiên cứu tại Checkmarx, người hôm nay cảnh báo về khả năng gia tăng các cuộc tấn công chuỗi cung ứng nguồn mở.
Trong chiến dịch này, một tác nhân đe dọa không được tiết lộ đã bị phát hiện đang thao túng chức năng tìm kiếm của GitHub bằng cách tạo các kho lưu trữ độc hại với các tên và chủ đề phổ biến, đồng thời sử dụng các bản cập nhật tự động và các ngôi sao giả để tăng thứ hạng tìm kiếm của họ trên nền tảng.
Theo kỹ sư nghiên cứu Yehuda Gelb của Checkmarx, nam diễn viên đã giấu mã độc trong kho lưu trữ, chứa bên trong csproj. và vcxproj. các tệp, là các thành phần quan trọng của quá trình xây dựng dự án Visual Studio, được thực thi tự động khi dự án được xây dựng. Kẻ tấn công cũng sửa đổi tải trọng dựa trên nguồn gốc của nạn nhân, kiểm tra cụ thể xem liệu họ có ở Nga hay không, mặc dù khả năng này dường như chưa được bật.
Bản thân tệp thực thi này có những điểm tương đồng với phần mềm độc hại có tên Keyzetsu clipper, nhắm mục tiêu vào ví tiền điện tử và thiết lập sự tồn tại trên các máy Windows bị nhiễm thông qua việc tạo một tác vụ theo lịch trình chạy phần mềm độc hại hàng ngày vào lúc 4 giờ sáng theo giờ địa phương mà không có sự tham gia của người dùng.
Gelb viết: “Các nhà phát triển nên thận trọng khi sử dụng mã từ các kho lưu trữ công cộng và theo dõi các thuộc tính đáng ngờ của kho lưu trữ, chẳng hạn như tần suất cam kết cao và các nhà chiêm tinh với các tài khoản được tạo gần đây”.
Tìm kiếm độc hại
Chiến dịch do Gelb phát hiện đặc biệt đáng chú ý vì nó khai thác lén lút các tính năng tìm kiếm hợp pháp trong GitHub. Tác nhân đe dọa rõ ràng có kiến thức nâng cao về kỹ thuật tối ưu hóa tìm kiếm và sử dụng tên cũng như chủ đề có khả năng được người dùng tìm kiếm, ngụy trang chúng thành các dự án hợp pháp thường liên quan đến các trò chơi phổ biến, trò gian lận hoặc các công cụ khác.
Bằng cách khai thác GitHub Actions, chúng khiến các kho lưu trữ tự động cập nhật với tần suất cao bất thường – điều này được thực hiện bằng cách thực hiện sửa đổi nhanh đối với tệp nhật ký có ngày hoặc giờ được cập nhật hoặc một số thay đổi nhỏ khác. Hoạt động này liên tục nâng cao khả năng hiển thị của kho lưu trữ.
Kẻ tấn công cũng khuếch đại tính hiệu quả của kho lưu trữ độc hại bằng cách sử dụng nhiều tài khoản GitHub sockpuppet để tăng xếp hạng sao của kho lưu trữ độc hại một cách giả tạo, tăng cường khả năng hiển thị của chúng hơn nữa, đặc biệt là trong các trường hợp người dùng lọc kết quả theo xếp hạng.
Đây không phải là một kỹ thuật mới chút nào, thực tế nó đã được sử dụng rộng rãi trong quá khứ. Tuy nhiên, trong các sự cố trước đây, khi những kẻ tấn công can thiệp vào xếp hạng theo sao, chúng có xu hướng thêm hàng trăm hoặc hàng nghìn xếp hạng không có thật vào kho lưu trữ của mình – trong trường hợp này, chúng dường như đang chọn chủ nghĩa hiện thực hơn để tránh khiến nhiều người phải nhíu mày.
Gelb cũng lưu ý rằng nhiều nhà chiêm tinh sockpuppet được tạo ra vào cùng ngày, một dấu hiệu tiềm ẩn về hoạt động đáng ngờ.
Bản thân mã độc này đã được cập nhật gần đây nhất vào ngày 3 tháng 4 năm 2024 để chuyển hướng đến một URL mới tải xuống một tệp .7z được mã hóa khác chứa tệp thực thi có tên làfeedbackAPI.exe, vì vậy rõ ràng chiến dịch vẫn đang hoạt động.
Đáng chú ý, tệp thực thi mới đã được đệm bằng nhiều số 0 nhằm cố gắng tăng kích thước tệp của nó một cách giả tạo và vượt quá ngưỡng của máy quét, chẳng hạn như VirusTotal, vốn chỉ có thể chấp nhận các tệp có kích thước tối đa 650 MB – phản hồiAPI.exe có kích thước 750 MB .
Gelb cho biết có đủ bằng chứng cho thấy chiến dịch này đã lừa dối thành công rất nhiều người và một số kho lưu trữ độc hại đã nhận được khiếu nại từ những người dùng bị lừa tải xuống mã tinh vi.
Gelb viết: “Việc sử dụng kho lưu trữ GitHub độc hại để phân phối phần mềm độc hại là một xu hướng đang diễn ra và gây ra mối đe dọa đáng kể cho hệ sinh thái nguồn mở”. “Bằng cách khai thác chức năng tìm kiếm của GitHub và thao túng các thuộc tính kho lưu trữ, kẻ tấn công có thể dụ dỗ người dùng không nghi ngờ tải xuống và thực thi mã độc.”
Gelb khuyên người dùng GitHub nên tự nhận thức được một số dấu hiệu cảnh báo cho thấy một chiến dịch có tính chất này có thể đang diễn ra, bao gồm các kho lưu trữ có số lượng cam kết “bất thường” so với tuổi của nó và các nhà chiêm tinh thể hiện hành vi giống như một con rối.
Ông lập luận rằng sau cuộc tấn công gần đây vào thư viện nén dữ liệu của Xperia Utils, trong đó một tác nhân độc hại rõ ràng đã dành nhiều năm để có được sự tin tưởng của người bảo trì dự án nguồn mở và thực hiện nhiều cập nhật hữu ích trước khi cố gắng lẻn vào một cửa hậu. Sẽ là không khôn ngoan, nếu không nói là hết sức vô trách nhiệm, nếu bất kỳ nhà phát triển nào dựa vào danh tiếng như một thước đo khi sử dụng mã nguồn mở.
“Một nhà phát triển mù quáng lấy mã cũng mù quáng chịu trách nhiệm về mã đó. Những sự cố này nêu bật sự cần thiết phải xem xét mã thủ công hoặc sử dụng các công cụ chuyên dụng để thực hiện kiểm tra mã kỹ lưỡng để phát hiện phần mềm độc hại. Chỉ kiểm tra các lỗ hổng đã biết là không đủ”, ông cảnh báo.
Bài đăng nghiên cứu đầy đủ, bao gồm các chỉ báo về sự xâm phạm (IoC), có sẵn từ Checkmarx.