威胁组织"香蕉小队(Banana Squad)"最新曝光的软件供应链攻击活动已入侵60多个GitHub代码仓库,每个仓库包含数百个伪装成合法黑客工具的恶意Python文件。此次行动标志着攻击者利用GitHub等公共开发者生态系统大规模分发恶意软件的手段出现了令人不安的升级。
ReversingLabs首席恶意软件研究员Robert Simmons指出:虽然npm和PyPI等开源仓库上传的恶意软件包数量有所下降,但GitHub等平台上威胁行为者的隐蔽性和技术复杂度正在不断提升。
攻击手法分析
香蕉小队最初由Checkmarx在2023年曝光,这个长期活跃的威胁组织以大规模发布恶意开源软件包而闻名。其最新攻击活动使用经过木马化的GitHub仓库,伪装成开发者常搜索的Python黑客工具。这些恶意软件最终目的是从受感染的Windows主机窃取系统数据、浏览器信息及加密货币。
上方为木马化仓库,下方为正常仓库 | 图片来源:ReversingLabs
本次攻击中一个突出域名是dieserbenni[.]ru,与多个恶意仓库相关联。ReversingLabs分析师发现:
-
67个伪造的GitHub仓库 -
动态生成的后门有效载荷 -
采用Base64、十六进制和Fernet加密的混淆Python脚本 -
与香蕉小队早期行动共享的恶意基础设施
报告详细说明:"这些仓库名称与未受感染的其他仓库完全一致",揭示了攻击者如何利用相似仓库欺骗开发者。
隐蔽技术揭秘
攻击活动中使用的一项巧妙技术是利用GitHub界面特性隐藏恶意代码:通过不换行的超长代码行将恶意内容推到屏幕右侧不可见区域。
ReversingLabs解释称:"被植入木马的Python文件滥用GitHub的界面特性——超长代码行不会自动换行...从而将恶意代码内容推到屏幕右侧不可见区域。"即使用4K显示器,除非开发者切换到十六进制视图或使用Spectra Analyze等取证工具,否则隐藏的后门仍然不可见。
典型案例:仓库degenerationred中的file-extension-spoofer.py文件表面看似正常,但经RL工具深入分析后暴露出内嵌的有效载荷。
检测与发现过程
为揭露此次攻击活动,ReversingLabs从威胁情报日志中发现的恶意URL反向追踪。这些URL将仓库名称作为查询字符串,使得识别木马化内容更为容易。
RL使用Spectra Assure工具对比同一仓库的干净版本和受感染版本。关键识别特征包括:
-
名为degenerationred等单一仓库的GitHub账户 -
仓库描述中的火焰和火箭表情符号 -
嵌入README文件和代码中的动态生成字符串
Spectra Assure报告指出:"检测到存在超出常规屏幕宽度的代码组件",这揭示了攻击者视觉欺骗的核心技术。
恶意代码技术细节
被植入木马的Python文件采用多层混淆技术:
-
Base64编码字符串 -
十六进制编码 -
使用Python加密库的Fernet加密
这些文件最终会连接dieserbenni[.]ru和1312services[.]ru等域名获取最终阶段有效载荷,可能包括系统侦察工具、数据窃取程序和键盘记录器。报告警告称:"基于Windows的最终有效载荷旨在窃取大量敏感数据。"
事件影响与警示
目前GitHub已收到报告并下架全部67个被植入木马的仓库。但克隆或分叉副本的真实数量尚不明确,意味着许多开发者可能已在不知情的情况下将受感染代码引入自己的项目。ReversingLabs指出:"很可能已有多个受害者受到此次攻击活动影响。"
香蕉小队的这次行动再次提醒我们:开源信任可能被武器化。随着开发者社区持续依赖GitHub等平台获取快速可用的代码,攻击者也在不断进化以融入并利用这种依赖性。ReversingLabs总结称:"GitHub等公开源代码仓库中的后门和木马化代码正变得越来越普遍,成为日益增长的软件供应链攻击载体。"
参考来源:
Banana Squad Strikes Again: 60+ GitHub Repositories Trojanized in New Software Supply Chain Attack
https://securityonline.info/banana-squad-strikes-again-60-github-repositories-trojanized-in-new-software-supply-chain-attack/
原文始发于微信公众号(FreeBuf):60余个GitHub仓库遭“香蕉小队”木马化,软件供应链攻击再次升级
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论