Hackere misbruger GitHubs platform til at sprede skadelig kode, ved at efterligne populære repositories. Ifølge ny forskning fra Checkmarx, bruger cyberkriminelle GitHubs søgefunktion til at narre udviklere til at downloade ondsindet software.
Udnyttelse af GitHub-funktioner
Forskningsingeniør Yehuda Gelb fra Checkmarx har beskrevet, hvordan hackere bruger forskellige metoder til at øge synligheden af deres skadelige repositories. En af de mest almindelige teknikker er at udnytte GitHubs automatiseringsværktøj, GitHub Actions, til at foretage hyppige, små opdateringer. Dette kunne være så simpelt som at ændre en dato eller tid i en logfil, hvilket hjælper med at få repositoriet til at fremstå opdateret og velholdt.
Oprettelse af falske konti
For at gøre deres skadelige repositories mere troværdige, opretter hackerne også flere falske konti. Disse konti bruges til at tilføje stjerner til repositorierne, hvilket får dem til at virke populære og pålidelige. Gelb bemærker, at i modsætning til tidligere, hvor hackere tilføjede hundredvis af stjerner, er de nu mere forsigtige og tilføjer kun et beskedent antal for at undgå mistanke.
Skjult skadelig kode
Den ondsindede kode er ofte gemt i Visual Studio-projektfiler, hvilket gør det svært for udviklere at opdage den. Når projektet bygges, kører koden automatisk, medmindre udviklere aktivt søger efter mistænkelige elementer i repositoriet.
Interessant nok afslørede undersøgelsen, at malwaren indeholder et PowerShell-script, der tjekker IP-adressens landekode for at afgøre, om offeret er baseret i Rusland. Afhængigt af offerets placering, henter payloaden forskellige filer, hvilket antyder, at angriberne måske opererer fra Rusland og forsøger at undgå at ramme lokale mål for at undgå opmærksomhed fra myndighederne.
Råd til udviklere
Gelb anbefaler, at udviklere nøje undersøger de repositories, de overvejer at bruge. Det er vigtigt at se på, hvor mange commits et repository har i forhold til, hvor længe det har eksisteret, og om ændringerne er små og hyppige. Udviklere bør også kigge på, hvilke konti der har givet stjerner til repositoriet, og undersøge, hvor længe disse konti har været aktive.
Vigtigheden af grundige kodeanmeldelser
Gelb understreger, at det ikke er tilstrækkeligt at stole på et repositories omdømme. Efter XZ-angrebet og andre lignende hændelser, er det klart, at udviklere skal være mere forsigtige. “En udvikler, der blindt tager kode, tager også blindt ansvar for den kode,” skriver Gelb. Han anbefaler manuelle kodeanmeldelser eller brug af specialværktøjer til grundige kodeinspektioner for malware, da det ikke er nok blot at tjekke for kendte sårbarheder.
Kilde: ITPro.
Har du brug for antivirus eller hjælp med computeren?
Hos BestSecurity tilbyder vi rådgivning om IT-sikkerhed samt support til både private og erhverv. Vi hjælper dig med alt fra at beskytte din computer mod virus til at løse dine IT-problemer.
Ring til os på tlf. (+45) 82 82 82 35 eller indtast dit nummer herunder, så vi kan tage en uforpligtende snak om dit behov for IT-hjælp: