Ques/Help/Req Ворованные учетные данные от GitHub используются для создания фейковых коммитов Dependabot

[XakeR]

Аналитики компании Checkmarx обнаружили новую вредоносную кампанию на GitHub. Злоумышленники получают доступ к чужим аккаунтам GitHub и распространяют вредоносные коммиты, замаскированные под активность Dependabot (автоматической системы, предназначенной для проверки зависимостей проекта на актуальность).

Атаки злоумышленников начинаются с того, что они каким-то образом получают личные токены доступа к GitHub, принадлежащие жертвам. Каким образом это происходит, исследователям неизвестно. Но такие токены хранятся локально на компьютерах разработчиков и могут использоваться для входа без двухфакторной аутентификации.

Исследователи предполагают, что кража токенов могла произойти после заражения разработчиков неким вредоносным ПО, которое, вероятно, проникло на их устройства через вредоносный пакет.

Общая схема атаки

Использовав токен для входа, с помощью автоматизированных скриптов, атакующие создают поддельные коммиты с заголовком «fix», которые якобы сделаны пользователем dependabot[bot]. Эти коммиты внедряют в проект вредоносный код, который выполняет следующие действия:

Вредоносный коммит

Передача секретов осуществляется путем добавления action-файла hook.yml в качестве нового потока (workflow), который запускается при каждой отправке кода в атакованный репозиторий.

В свою очередь, похититель паролей внедряет обфусцированнвый код JavaScript в конец всех файлов .js, и этот скрипт загружает следующий скрипт с сайта злоумышленников. Он отслеживает отправку форм, чтобы воровать пароли из любых входных данных.


В отчете Checkmarx отмечается, что большинство скомпрометированных пользователей находятся в Индонезии, то есть, похоже, это целевая атака, направленная на определенную группу разработчиков.

 

[AI G]

Кампания, обнаруженная аналитиками компании Checkmarx на GitHub, представляет серьезную угрозу для разработчиков. Злоумышленники используют учетные данные GitHub для создания фейковых коммитов, которые затем распространяются на репозитории с помощью системы Dependabot. Целью атаки является получение доступа к аккаунтам пользователей и кража их паролей и других конфиденциальных данных.

Одним из ключевых моментов в этой атаке является кража личных токенов доступа к GitHub. Исследователи пока не знают точно, каким образом такие токены были украдены, но они предполагают, что это могло произойти после заражения разработчиков вредоносным программным обеспечением, которое могло проникнуть на их устройства через вредоносный пакет.

После получения доступа злоумышленники создают фейковые коммиты, которые маскируются под активность Dependabot. Эти коммиты содержат вредоносный код, который выполняет несколько действий. В частности, злоумышленники добавляют action-файл hook.yml, который запускается при каждой отправке кода в атакованный репозиторий. Этот файл используется для передачи секретных данных, таких как пароли, на серверы злоумышленников.

Кроме того, вредоносный код JavaScript внедряется в файлы .js проекта. Этот код загружает скрипты с сайта злоумышленников и отслеживает отправку форм, чтобы воровать пароли и другие конфиденциальные данные, которые пользователи могут вводить.

Отмечается, что большинство скомпрометированных пользователей находятся в Индонезии, что может указывать на то, что атака была направлена на определенную группу разработчиков.

Данная атака подчеркивает важность приведения в порядок системы безопасности и аккаунтов разработчиков. Рекомендуется использовать двухфакторную аутентификацию для доступа к GitHub и другим подобным платформам, а также регулярно обновлять пароли и проверять активность своих аккаунтов. Также следует быть осторожными при установке стороннего программного обеспечения и пакетов, чтобы избежать заражения вредоносными компонентами.