Nebezpečné obzvlášť pro vývojáře: probíhající útok hrozí infekcí milionů kódových úložišť

Jiří Palyza 07.03.2024

Kyberzločinci zneužívají GitHub k šíření malwaru. Objevilo se varování před napadenými repozitáři, kam vývojáři ukládají svůj kód.

Oblíbená platforma využívaná především programátory, GitHub, se snaží zvládnout probíhající útok, který zaplavuje obrovské množství kódových úložišť. Podle bezpečnostních výzkumníků se kyberškůdci snaží kódová úložiště kompromitovat škodlivým softwarem, který krade hesla a kryptoměny ze zařízení vývojářů.

GitHub, který je mezi programátory oblíbený a hojně využíván jako platforma pro správu kódu, se stal terčem sofistikovaného útoku. Strůjcům útoku se podařilo vytvořit až sto tisíc infikovaných klonovaných repozitářů, což vytváří z hlediska procesu jejich odstraňování problém už pro samotný GitHub.

Podvod kyberzločinců je ve své jednoduchosti velmi účinný: klonuje oblíbené projekty, infikuje je škodlivým kódem, a dále šíří v prostředí GitHub v podobě velkého množství duplikátů.

Mohlo by vás zajímat

Podvodníci objevili nový fígl: tímto způsobem vám bez ptaní ukradnou Facebook

Bezpečnost

Manipulace často zůstává neodhalena. Útočníci se také v mnoha případech zaměřují na menší projekty a spoléhají na to, že vývojáři příliš nedbají na ochranu svého kódu před integrací softwaru třetích stran.

Infikované knihovny se dokonce dostávají i do Python Package Indexu (PyPI), což výrazně zvyšuje možný dosah škodlivého kódu.

BlackCap-Grabber v úložišti GitHub: cílí na přihlašovací údaje a soubory cookie

Stránka GitHub zobrazená na monitoru — Kyberzločinci si tentokrát vzali na mušku vývojářský repozitář GitHub a zneužívají jej k šíření škodlivého kódu.

Škodlivý kód, vložený do úložišť, bezpečnostní výzkumníci popisují jako klon open source softwaru BlackCap-Grabber. Zaměřuje se na shromažďování přihlašovacích údajů, souborů cookie a dalších citlivých informací. Poté je předává na servery útočníků.

Přestože GitHub většinu automaticky vytvořených falešných repozitářů rychle odstraní, ručně vytvořené podvrhy někdy uniknou pozornosti.

Mohlo by vás zajímat

Nebezpečné: s touto verzí Windows se raději rozlučte – už nedostává bezpečnostní aktualizace

Bezpečnost

První vlna podezřelých balíčků PyPI, odkazujících na zmanipulovaná úložiště v prostředí GitHubu, byla objevena v květnu 2023. Od té doby útočníci zneužívají platformu přímo k tomu, aby uživatelům doručili svůj nebezpečný kód.

Od listopadu do současnosti výzkumníci odhalili přes sto tisíc repozitářů, obsahujících podobné škodlivé payloady. Také pozorují alarmující trend jejich neustálého růstu. Proto vyzývají vývojáře, aby se měli na pozoru a byli si tohoto potenciálního rizika vědomi.

Zdroj: Ars Technica, Apiiro