Шахрайські репозиторії на GitHub: підробки виманюють дані користувачів
У світі технологічних новинок з’являються не лише вражаючі інновації, але й недобросовісні схеми. Недавнє розслідування виявило небезпечну кампанію, де було створено принаймні 292 віртуальних репозиторії на платформі GitHub. Це стало черговим нагадуванням про важливість захисту програмного ланцюга поставок у розробників. Понад 292 фальшивих репозиторії намагалися підробляти провідні технологічні бренди.
Кампанія, розкрита Arctic Wolf Labs, почалася 26 червня. Понад 78 редиректів залишалися активними навіть протягом аналізу, тоді як GitHub оперативно видаляв частину виявленої інфраструктури. Хакери копіювали брендинг, маркетингові матеріали та README вміст від легітимних джерел, додаючи кнопки завантаження, що перенаправляли користувачів на інфраструктуру, контрольовану зловмисниками.
Як працювала шахрайська схема
Одним із прикладів була підробка Arctic Wolf через організацію з назвою “Arctic-Wolf-Security”. Її профіль мав вигаданий список завдань для новачків та кнопку “ОФІЦІЙНА СТОРІНКА”, що вела до зловмисної інфраструктури. Шахраї використовували оптимізацію пошукових систем, щоб піднести свої репозиторії у запитах, пов’язаних з програмним забезпеченням.
Man гласять, що операція не використовувала вразливості GitHub чи самих компаній. Все було побудовано на завантаженні та відкритті користувачами програм з підробних ресурсів.
Інфраструктура завантажень
Після натискання на посилання для завантаження, користувачі переправлялися через адресу GitHub Pages на зовнішній домен, де показувалася сторінка з ім’ям бренду. Вигляд цих репозиторіїв та файлів-завантажень був частинами ланцюга постачання, який не мав доказів зв’язку між генерованими двійковими файлами та вихідним кодом у репозиторії.
Різні репозиторії використовували спільний шаблон HTML та JavaScript, де ім’я бренду вставлялося у заголовок, підзаголовок та заголовок браузера. Таким чином, зловмисники могли відстежувати, який репозиторій породив завантаження за допомогою URL-ідентифікаторів.
Загроза крадіжки даних
Після аналізу зараженого архіву, Arctic Wolf пов’язав його з родиною шкідливої програми BoryptGrab, яка викрадала дані. Операція крала облікові дані браузера, файли, скріншоти та інші приватні дані, відправляючи їх на сервер у Росії.
Захист від шкідливих репозиторіїв
Головний урок для розробників — не покладатися лише на вигляд репозиторію чи підписаний виконуваний файл. Для верифікації джерела потрібно ретельно перевіряти вікову історію облікового запису, ідентичність організації, а також куди перенаправляють зовнішні посилання.
Арктичний Вовк рекомендує змінювати облікові дані, дані браузерів, токени аутентифікації та ключі криптовалютних гаманців на системах, де було виконане шкідливе ПЗ. Це основні кроки для запобігання повторного компрометації ваших систем.



