Một chiến dịch đe dọa đã nhắm mục tiêu vào các nhà phát triển phần mềm thông qua các kho lưu trữ GitHub thoạt nhìn trông hoàn toàn hợp pháp.

Các nhà nghiên cứu bảo mật từReversingLabsđã phát hiện hơn 60 kho lưu trữ GitHub chứa những công cụ hack thông thường được viết bằng Python.
Nhưng nếu quan sát kỹ hơn – hay đúng hơn là cuộn sang phải – bạn sẽ thấy các kho lưu trữ này thực sự ẩn chứa hàng trăm tệp độc hại được thiết kế để đánh cắp dữ liệu nhạy cảm từ các nhà phát triển không hề hay biết.

Điều đáng lo ngại về phát hiện này là cách nó đánh dấu sự thay đổi trong chiến thuật.
Trong khi tội phạm mạng đã tràn ngập các kho lưu trữ mã nguồn mở như npm và PyPI bằng các gói đáng ngờ, giờ đây chúng đang tạo ra các cuộc tấn công tinh vi hơn nhiều bằng cách lợi dụng các nền tảng mà các nhà phát triển thường tin tưởng.

Sự trở lại của Banana Squad

Nếu bạn đã theo dõi tin tức an ninh mạng, có thể bạn nhớ đến một nhóm có tên ‘Banana Squad’ mà các nhà nghiên cứu Checkmarx phát hiện vào tháng 10 năm 2023.
Họ có cái tên khá lạ này từ một trong những tên miền độc hại đầu tiên của họ:
bananasquad[.]ru.

Những kẻ này đã rất bận rộn.
Chiến dịch ban đầu của chúng bắt đầu vào tháng 4 năm 2023, khi chúng triển khai hàng trăm gói độc hại bằng cách sử dụng các tên người dùng khác nhau.
Những gói này đã thu hút gần 75.000 lượt tải xuống trước khi các đội bảo mật phát hiện và gỡ bỏ chúng.

Giờ đây, chúng trở lại với một cách tiếp cận tinh vi hơn.
Thay vì đưa các gói rõ ràng là độc hại vào kho lưu trữ, chúng tạo ra các kho lưu trữ GitHub bắt chước hoàn hảo các công cụ hợp pháp – cùng tên, mô tả tương tự – nhưng ẩn chứa một bất ngờ khó chịu trong mã.

Ẩn náu trong tầm nhìn (chỉ cần cuộn sang phải)

Kỹ thuật mà chúng sử dụng đơn giản nhưng hiệu quả.
Bạn có bao giờ để ý rằng giao diện GitHub không tự động xuống dòng với các dòng mã dài không?
Banana Squad đã nhận ra điều đó.

Kẻ tấn công chèn một chuỗi dài các khoảng trắng trước mã độc của chúng, đẩy nó sang phải đến mức không thể nhìn thấy – ngay cả khi bạn đang làm việc trên một màn hình cực lớn.
Trừ khi bạn chủ động cuộn ngang qua từng dòng mã (và ai làm điều đó chứ?), bạn sẽ không bao giờ phát hiện ra nó.

Mẹo này lần đầu tiên được các nhà nghiên cứu tạiInternet Storm Centercủa SANS phát hiện vào tháng 11 năm ngoái khi họ xem xét một kho lưu trữ duy nhất liên quan đến dieserbenni[.]ru.
ReversingLabs đã theo dõi manh mối đó và cuối cùng làm sáng tỏ một hoạt động quy mô lớn hơn nhiều liên quan đến 67 kho lưu trữ đều sử dụng cùng một kỹ thuật.

Công việc điều tra thông minh

Nhóm ReversingLabs đã sử dụng một số kỹ thuật điều tra thích hợp để phát hiện toàn bộ quy mô của chiến dịch.
Họ làm việc ngược từ các URL đáng ngờ được tìm thấy trong dữ liệu tình báo mối đe dọa, lưu ý rằng các chuỗi truy vấn thường chứa tên kho lưu trữ.

Vì chỉ một cái tên đáng ngờ là không đủ để xác định kho lưu trữ nào là độc hại – xét cho cùng, toàn bộ điểm mấu chốt là chúng chia sẻ tên với các dự án hợp pháp – các nhà nghiên cứu đã thu thập tất cả các kho lưu trữ có tên trùng khớp và đưa chúng vào kính hiển vi bằng nền tảng Spectra Intelligence của họ.

Hầu hết các kho lưu trữ đáng ngờ là kho lưu trữ duy nhất được liệt kê dưới mỗi tài khoản GitHub – một dấu hiệu rõ ràng cho thấy các tài khoản này được tạo ra để lưu trữ mã độc.
Mỗi kho lưu trữ về cơ bản là một con sói đội lốt cừu, sử dụng tên giống hệt với các dự án hợp pháp để trông đáng tin cậy.

Phần ‘About’ chứa đầy các từ khóa tìm kiếm liên quan và các biểu tượng cảm xúc bắt mắt (thường là ngọn lửa hoặc tên lửa), cùng với một chuỗi được tạo động kỳ lạ ở cuối.
Những chuỗi được tạo tương tự cũng xuất hiện ở cuối các tệp README và trong các tệp mã Python đã bị Trojan hóa;
gần giống như một chữ ký.

Thêm nhiều lớp lừa đảo

Nếu bạn nghĩ thủ thuật cuộn ngang đã thông minh, thì các kỹ thuật mã hóa được sử dụng trong các tệp Python độc hại còn đưa mọi thứ lên một tầm cao mới.
Kẻ tấn công sử dụng nhiều lớp làm rối – Base64, văn bản Hex và mã hóa Fernet – khiến người quan sát thông thường khó hiểu mã thực hiện điều gì.

Khi được thực thi, phần mềm độc hại sẽ kết nối về máy chủ điều khiển và kiểm soát chủ yếu được lưu trữ tại dieserbenni[.]ru.
Vào tháng 6, ReversingLabs phát hiện một chiến dịch mới xuất hiện sử dụng 1312services[.]ru – tương tự như một tên miền khác đã được xác định trước đó, 1312stealer[.]ru.

Sau khi ReversingLabs báo cáo phát hiện của họ, GitHub đã hành động nhanh chóng, xóa bỏ tất cả 67 kho lưu trữ được xác định trong một ngày cuối tuần.
Đó là tin tốt.

Tin xấu?
Không ai biết chính xác những kho lưu trữ này đã được sao chép hoặc sử dụng bao nhiêu lần bởi các nhà phát triển không hay biết trước khi chúng bị gỡ bỏ.
Với quy mô 67 kho lưu trữ chứa hàng trăm tệp độc hại, gần như chắc chắn có những nạn nhân ngoài kia chưa nhận ra họ đã bị xâm phạm.

Đối với nhà phát triển bình thường dựa vào GitHub và các nền tảng mã nguồn mở khác, cuộc tấn công này đại diện cho một mối đe dọa đặc biệt nguy hiểm.
Xét cho cùng, kiểm tra và sử dụng mã từ các kho lưu trữ công khai là thực hành tiêu chuẩn trong phát triển hiện đại.

Lời khuyên tốt nhất?
Luôn kiểm tra xem kho lưu trữ bạn đang sử dụng có chứa những gì bạn mong đợi không, và bất cứ khi nào có thể, hãy so sánh nó với một phiên bản tốt đã biết.

Với vai trò là nguồn tài nguyên hàng đầu cho hàng triệu nhà phát triển trên toàn thế giới, tác động tiềm tàng của các cuộc tấn công được chế tạo như vậy có thể là rất lớn nếu mã độc tìm được đường vào các quy trình phát triển chính thống.

Thẻ:coding , cybersecurity , development , git , github , hacking , infosec , programming , security , threats

Đăng ký kênh youtube để ủng hộ Cafedev nha các bạn, Thanks you!