Търсене
Close this search box.

Хранилищата на GitHub са засегнати от съобщения за кражба на пароли, маскирани като приноси на Dependabot

Наблюдавана е нова зловредна кампания, която превзема акаунти в GitHub и използва зловреден код, маскиран като приноси на Dependabot, с цел кражба на пароли от разработчици.

„Злонамереният код ексфилтрира определените тайни на проекта GitHub към злонамерен C2 сървър и модифицира всички съществуващи javascript файлове в атакувания проект със зловреден код за кражба на пароли чрез уеб форма, който въздейства на всеки краен потребител, подаващ паролата си в уеб форма“, казва Checkmarx в технически доклад.

Зловредният софтуер също така е проектиран да улавя тайните на GitHub и променливите на отдалечен сървър посредством GitHub Action.

Фирмата за сигурност на веригата за доставки на софтуер заяви, че е наблюдавала нетипични ангажименти в стотици публични и частни хранилища на GitHub между 8 и 11 юли 2023 г.

Изясни се, че на жертвите са били откраднати личните им токени за достъп до GitHub, които са били използвани от участниците в заплахата за извършване на ангажименти за зловреден код в хранилищата на потребителите, като са се представяли за Dependabot.

Dependabot е проектиран да предупреждава потребителите за уязвимости в сигурността в зависимостите на даден проект, като автоматично генерира заявки за изтегляне, за да ги актуализира.

„Нападателите са получили достъп до акаунтите, използвайки компрометирани PAT (Personal Access Token) – най-вероятно ексфилтрирани безшумно от средата за разработка на жертвата“, заявиха от компанията. Повечето компрометирани потребители се намират в Индонезия.

Точният метод, по който може да е била извършена тази кражба, обаче засега не е ясен, въпреки че се предполага, че може да става въпрос за измамен пакет, инсталиран по невнимание от разработчиците.

Разработката подчертава продължаващите опити от страна на  заплахите да отровят екосистемите с отворен код и да улеснят компрометирането на веригата за доставки.

Доказателство за това е новата кампания за ексфилтрация на данни, насочена към npm и PyPI, която използва цели 39 фалшиви пакета, за да събере чувствителна машинна информация и да предаде данните на отдалечен сървър.

Модулите, публикувани в продължение на няколко дни между 12 и 24 септември 2023 г., демонстрират прогресивно нарастване на сложността, обхвата и техниките за замаскиране, казват от Phylum.

Израелската компания също така проследява това, което тя характеризира като мащабна typosquat кампания, насочена към npm, в която 125 пакета, маскирани като angular и react, се използват за изпращане на машинна информация към отдалечен канал на Discord.

Дейността обаче изглежда е част от „изследователски проект“, като авторът твърди, че това се прави, за да „разбера дали някоя от програмите за възнаграждение за грешки, в които участвам, ще бъде засегната от някой от пакетите, за да мога да бъда първият, който ще ги уведоми и ще защити инфраструктурата им“.

„Това е в нарушение на Политиката за приемлива употреба на npm, а този вид кампании натоварват лицата, натоварени със задачата да поддържат тези екосистеми чисти“, предупреждава Phylum.

Източник: The Hacker News

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
Бъдете социални
Още по темата
15/04/2024

Хакер твърди, че е пробил G...

Канадската верига за търговия на дребно...
13/04/2024

На федералните агенции на С...

В четвъртък Агенцията за киберсигурност и...
10/04/2024

AT&T твърди, че пробива...

AT&T уведомява 51 милиона бивши и...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!