fbpx

DATO

17/05/2024

Hackere udnytter GitHubs søgefunktion til at sprede malware

Hackere efterligner populære GitHub-repositories og bruger avancerede teknikker til at sprede skadelig kode. Læs videre for at lære, hvordan disse angreb udføres, og hvordan du kan beskytte dig.

Hackere misbruger GitHubs platform til at sprede skadelig kode, ved at efterligne populære repositories. Ifølge ny forskning fra Checkmarx, bruger cyberkriminelle GitHubs søgefunktion til at narre udviklere til at downloade ondsindet software.

Udnyttelse af GitHub-funktioner

Forskningsingeniør Yehuda Gelb fra Checkmarx har beskrevet, hvordan hackere bruger forskellige metoder til at øge synligheden af deres skadelige repositories. En af de mest almindelige teknikker er at udnytte GitHubs automatiseringsværktøj, GitHub Actions, til at foretage hyppige, små opdateringer. Dette kunne være så simpelt som at ændre en dato eller tid i en logfil, hvilket hjælper med at få repositoriet til at fremstå opdateret og velholdt.

Oprettelse af falske konti

For at gøre deres skadelige repositories mere troværdige, opretter hackerne også flere falske konti. Disse konti bruges til at tilføje stjerner til repositorierne, hvilket får dem til at virke populære og pålidelige. Gelb bemærker, at i modsætning til tidligere, hvor hackere tilføjede hundredvis af stjerner, er de nu mere forsigtige og tilføjer kun et beskedent antal for at undgå mistanke.

Skjult skadelig kode

Den ondsindede kode er ofte gemt i Visual Studio-projektfiler, hvilket gør det svært for udviklere at opdage den. Når projektet bygges, kører koden automatisk, medmindre udviklere aktivt søger efter mistænkelige elementer i repositoriet.

Interessant nok afslørede undersøgelsen, at malwaren indeholder et PowerShell-script, der tjekker IP-adressens landekode for at afgøre, om offeret er baseret i Rusland. Afhængigt af offerets placering, henter payloaden forskellige filer, hvilket antyder, at angriberne måske opererer fra Rusland og forsøger at undgå at ramme lokale mål for at undgå opmærksomhed fra myndighederne.

Råd til udviklere

Gelb anbefaler, at udviklere nøje undersøger de repositories, de overvejer at bruge. Det er vigtigt at se på, hvor mange commits et repository har i forhold til, hvor længe det har eksisteret, og om ændringerne er små og hyppige. Udviklere bør også kigge på, hvilke konti der har givet stjerner til repositoriet, og undersøge, hvor længe disse konti har været aktive.

Vigtigheden af grundige kodeanmeldelser

Gelb understreger, at det ikke er tilstrækkeligt at stole på et repositories omdømme. Efter XZ-angrebet og andre lignende hændelser, er det klart, at udviklere skal være mere forsigtige. “En udvikler, der blindt tager kode, tager også blindt ansvar for den kode,” skriver Gelb. Han anbefaler manuelle kodeanmeldelser eller brug af specialværktøjer til grundige kodeinspektioner for malware, da det ikke er nok blot at tjekke for kendte sårbarheder.

Kilde: ITPro.

bestsecurity favikon

Skal vi hjælpe dig?

Book et møde med en konsulent og modtag et opkald indenfor 24 timer.

Så finder vi den rigtige løsning til dig og din virksomhed.

bestsecurity favikon

Skal vi hjælpe dig?

Book et møde med en konsulent og modtag et opkald indenfor 24 timer.

Så finder vi den rigtige IT-løsning til dig.