犯罪分子操纵GitHub的搜索结果来分发恶意软件

Checkmarx的研究人员报告称，威胁行为者正在操纵GitHub的搜索结果，向开发者系统传送持久的恶意软件。该攻击活动的幕后人员创建了具有流行名称和主题的恶意代码库，观察到他们使用了自动更新和虚假点赞等技术来提升搜索排名。

Checkmarx发布的报告称：“通过利用GitHub Actions，攻击者以非常高的频率自动更新代码库，方法是修改一个文件，通常称为“日志”，其中包含当前日期和时间或者只是一些随机的小改动。这种持续的活动人为地提高了代码库的可见性，特别是对于用户通过“最近更新”筛选结果的情况，增加了毫无防备的用户发现和访问它们的可能性。虽然自动更新有所帮助，但攻击者还结合了另一种技术，增加了其代码库排名的效果。攻击者利用多个虚假账户添加虚假的点赞，制造出了一种受欢迎和可信赖的假象。” 为了规避检测，威胁行为者将恶意代码隐藏在Visual Studio项目文件（.csproj或.vcxproj）中，在构建项目时自动执行。

研究人员注意到，恶意载荷的传递是基于受害者的地理位置，不会分发给俄罗斯用户。在最近的攻击活动中，威胁行为者使用了一个体积较大的填充可执行文件，与“Keyzetsu clipper”恶意软件有相似之处。最近的恶意软件活动涉及一个体积较大的填充可执行文件，与“Keyzetsu clipper”恶意软件有相似之处，目标是加密货币钱包。4月3日，攻击者在其中一个代码库中更新了代码，链接到一个新的URL，该URL下载了一个不同的加密的.7z文件。存档包含一个名为feedbackAPI.exe的可执行文件。威胁行为者用大量的零填充了可执行文件，人为地增加了文件大小，超过了各种安全解决方案的限制，尤其是VirusTotal，使其无法扫描。该恶意软件通过创建一个定时任务来维持持久性，每天在凌晨4点运行可执行文件，而无需用户确认。

报告总结道：“利用恶意GitHub代码库分发恶意软件是一个持续存在的趋势，对开源生态系统构成了重大威胁。通过利用GitHub的搜索功能和操纵代码库属性，攻击者可以诱使毫无防备的用户下载并执行恶意代码。”。“这些事件突显了进行手动代码审查或使用专门工具进行彻底的恶意软件代码检查的必要性。仅仅检查已知漏洞是不够的。”

原文始发于微信公众号（黑猫安全）：犯罪分子操纵GitHub的搜索结果来分发恶意软件