.
Uma campanha de distribuição de malware que começou em maio passado com um punhado de pacotes de software maliciosos carregados no Python Package Index (PyPI) se espalhou pelo GitHub e se expandiu para atingir pelo menos 100.000 repositórios comprometidos.
De acordo com a empresa de segurança Apiiro, a campanha para envenenar o código envolve clonar repositórios legítimos, infectá-los com carregadores de malware, enviar os arquivos alterados para o GitHub com o mesmo nome, depois bifurcar o repositório envenenado milhares de vezes e promover o código comprometido em fóruns e em canais de mídia social.
Os desenvolvedores que procuram código útil podem, portanto, encontrar um repositório que seja descrito como útil e à primeira vista pareça apropriado, apenas para ter seus dados pessoais roubados por uma carga oculta que executa código Python malicioso e um executável binário.
“O código malicioso (em grande parte uma versão modificada do BlackCap-Grabber) coletaria credenciais de login de diferentes aplicativos, senhas de navegadores e cookies e outros dados confidenciais”, disseram Matan Giladi, pesquisador de segurança, e Gil David, chefe de IA, em um relatório. “Em seguida, ele o envia de volta ao servidor C&C (comando e controle) dos atores mal-intencionados e executa uma longa série de atividades maliciosas adicionais.”
Uma análise do código malicioso da Trend Micro descreve como ele emprega técnicas inteligentes para ocultar sua verdadeira natureza. Por exemplo, o código esconde o uso da função exec – para executar código dinamicamente – por meio de uma técnica chamada “contrabando de exec”.
Esses ataques adicionam centenas de caracteres de espaço em branco (521 deles) para empurrar a função exec para fora da tela como uma defesa contra o escrutínio manual.
O GitHub diz estar ciente de que nem tudo está bem.
“O GitHub hospeda mais de 100 milhões de desenvolvedores construindo em mais de 420 milhões de repositórios e está comprometido em fornecer uma plataforma segura e protegida para desenvolvedores”, disse um porta-voz. O registro.
“Temos equipes dedicadas a detectar, analisar e remover conteúdo e contas que violam nossas Políticas de Uso Aceitável. Empregamos revisões manuais e detecções em escala que usam aprendizado de máquina e evoluem e se adaptam constantemente às táticas adversárias. Também incentivamos os clientes e a comunidade membros para denunciar abuso e spam.”
Conscientização e verificação automatizada estão muito bem – mas Giladi e David da Apiiro observaram que o GitHub perdeu muitos forks de repositório automatizados, bem como aqueles carregados manualmente.
“Como toda a cadeia de ataque parece ser automatizada em grande escala, o 1% que sobrevive ainda equivale a milhares de repositórios maliciosos”, escreveram os autores, acrescentando que se você contar os repositórios removidos no total, a campanha provavelmente envolveu milhões. de clones e forks maliciosos.
Eles também apontam que a escala do ataque é grande o suficiente para se beneficiar dos efeitos de rede, especificamente desenvolvedores que bifurcam repositórios maliciosos sem a intenção de usar o software e não percebem que estão validando e propagando malware.
O GitHub, dizem os pesquisadores, apresenta uma maneira eficaz de comprometer a cadeia de fornecimento de software devido ao seu suporte para a geração automática de contas e repositórios, suas APIs amigáveis e limites de taxas suaves, e seu tamanho.
A administração Biden pressionou por uma segurança mais forte da cadeia de fornecimento de software por meio do Quadro de Segurança Cibernética 2.0 do Instituto Nacional de Padrões e Tecnologia e esforços para fazer com que as organizações publicassem sua lista de materiais de software. Mas claramente ainda há trabalho a fazer. ®
.
