数百万个GitHub仓库被发现感染恶意代码

admin 2024年3月2日11:16:57评论24 views字数 894阅读2分58秒阅读模式

数百万个GitHub仓库被发现感染恶意代码

最近,安全公司Apiiro的一份报告揭示了一种名为“仓库混淆”攻击,该攻击已经影响了GitHub上的超过100,000个仓库。

这种攻击利用了Git版本控制系统处理仓库名称的漏洞,可能导致恶意代码被注入到合法的仓库中。

这突显了需要改进的安全措施,以防止此类攻击并保护存储在GitHub上的代码的完整性。

这种攻击技术利用了GitHub平台的广泛规模和未受保护的可访问性,对未做好准备的开发者发起攻击。

攻击是如何进行的?

1.克隆流行仓库:攻击者针对像TwitterFollowBot、WhatsappBOT等流行仓库,并创建它们的仿制副本。

2.注入恶意软件:这些副本中插入了旨在窃取登录凭证、浏览器数据和其他敏感信息的恶意软件。

3.上传到GitHub:感染了恶意代码的仓库以与原仓库相同的名称重新上传到GitHub,希望不知情的开发者会误选它们。

4.传播并欺骗:攻击者使用自动化创建这些恶意仓库的数千个副本,并通过开发者常去的在线论坛和平台推广它们。

在不知情的开发者使用这些被污染的仓库时,他们会无意中解包一个包含七层混淆的隐藏有效载荷。

这个过程涉及提取恶意Python代码和一个可执行的二进制文件,特别是一个修改过的BlackCap-Grabber版本。

这段恶意代码旨在收集敏感信息,如来自各种应用程序的登录凭证、与浏览器相关的数据(如密码和cookies)以及其他机密信息。

之后,它将所有收集的数据传输给攻击者的命令和控制服务器。这会引发一系列额外的恶意活动。

攻击的范围

根据Apiiro的研究,自2023年中期开始的攻击活动在近几个月中势头不断增强。

已确认感染的仓库数量已超过100,000个,实际数量有可能达到数百万。

  • 2023年5月:包含当前有效载荷部分的恶意包出现在PyPI(Python包索引)上。

  • 2023年7月至8月:在PyPI移除恶意包后,攻击者转向直接将感染的仓库上传到GitHub。

  • 2023年11月至今:检测到超过100,000个感染的仓库,数量还在不断增长。

来源:cybersecuritynews

原文始发于微信公众号(星尘安全):数百万个GitHub仓库被发现感染恶意代码

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月2日11:16:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   数百万个GitHub仓库被发现感染恶意代码https://cn-sec.com/archives/2541114.html

发表评论

匿名网友 填写信息