Keyzetsu 2.0? Криптоклипперы атакуют пользователей GitHub

Злоумышленники начали использовать функцию поиска на GitHub для обмана пользователей, которые ищут популярные репозитории, заставляя их скачивать поддельные пакеты, содержащие вредоносное ПО.

О последнем нападении на цепочку поставок открытого программного обеспечения сообщила компания Checkmarx, отмечая, что зловредный код скрывается в файлах проектов Microsoft Visual Code и предназначен для загрузки последующих этапов вредоносных программ с удалённых URL.

Согласно исследователю безопасности Йехуде Гельбу, преступники создают вредоносные репозитории с популярными названиями и темами, используя автоматизированные обновления и фальшивые звёзды (местный критерий качества) для повышения их рейтинга в поиске, вводя пользователей в заблуждение. Это действие придаёт незаконным репозиториям видимость легитимности, обманывая разработчиков и заставляя их произвести загрузку.

Эксперты Checkmarx быстро нашли в даркнете услуги по накрутке вышеупомянутых звёзд за деньги. В предыдущих мошеннических кампаниях злоумышленники добавляли сотни или тысячи звёзд к своим репозиториям, но в недавних атаках они выбрали более скромное число звёзд, вероятно, чтобы не вызвать подозрений или банально сэкономить.

Многие из поддельных репозиториев маскируются под легитимные проекты, связанные с популярными играми и инструментами, усложняя их отличие от безопасного кода.

Также специалистами наблюдалось, что некоторые репозитории загружают зашифрованный файл «.7z» с исполняемым файлом «feedbackAPI.exe», размером 750 МБ. Столь большой размер, вероятно, обусловлен мерами обода антивирусной проверки.

В конечном итоге запускается вредоносное ПО, которое заменяет адреса кошельков криптовалют, скопированные в буфер обмена, на адреса, контролируемые атакующими. По информации Checkmarx, данный зловредный софт имеет некоторые схожести с известным клиппером Keyzetsu, однако не является таковым на сто процентов.

Открытие исследователей подчёркивает, что разработчикам крайне важно тщательно проверять исходный код при его скачивании из открытых репозиториев, а также не опираться только лишь на репутацию репозитория, так как её можно легко подделать.