Позначка: GitHub

Хакери вкрали 130 репозиторіїв на GitHub

Після того, як зловмисники атакували GitHub, Dropbox виявив значні порушення безпеки. Хакери завдяки фішинговій атаці змогли отримати облікові дані співробітника компанії, і отримали доступ до облікових записів GitHub.

Як повідомляє BleepingComputer, зловмисники зламали обліковий запис 14 жовтня. Підозрілу активність GitHub помітили ще за за день до надсилання сповіщення.

«На сьогоднішні наше розслідування виявило, що код, до якого отримали доступ, містив деякі облікові дані, насамперед, ключі API, які використовували розробники Dropbox», — повідомили у компанії Dropbox.

Dropbox зазнав чималих втрат. Насамперед це код і дані, які включали кілька тисяч імен і адрес електронної пошти співробітників компанії, поточних і минулих клієнтів, потенційних клієнтів і постачальників до яких входять код і дані. Слід зазначити, що Dropbox має понад 700 млн зареєстрованих користувачів.

Саме завдяки фішинговій атаці, яка була націлена на кількох співробітників і базувалася на підроблених електронних листах, хакерам вдалось успішно зламати їх облікові записи. Електронні листи імітували сповіщення від платформи безперервної інтеграції та доставки CircleCI, і перенаправляли їх на фішингову цільову сторінку, де їм було запропоновано ввести ім’я користувача та пароль GitHub.

«Ці репозиторії включали наші власні копії сторонніх бібліотек, трохи модифікованих для використання Dropbox, внутрішні прототипи та деякі інструменти та конфігураційні файли, які використовує команда безпеки», — додала компанія.

Dropbox додали, що хакери ніколи не мали доступу до облікових записів користувачів, платіжної системи та паролів. Також вони оголосили на тому, що їх основні програми та інфраструктура не постраждали в результаті цього злому.

Тисячі репозиторіїв GitHub розповсюджують шкідливе програмне забезпечення під експлойти

Фахівці Лейденського інституту передових комп’ютерних наук виявили тисячі репозиторіїв GitHub з підробленими експлойтами PoC для різних вразливостей, які поширюють шкідливе ПЗ.

Виявилося, що ймовірність зараження шкідливим ПЗ при завантаженні PoC може досягати 10. 3%, навіть якщо виключити явні збої. Нагадаємо ми також повідомляли, що GitHub вилучив експлойт ProxyLogon і був підданий критиці, а також що хакери використовують підроблені сповіщення CircleCI для доступу до облікових записів GitHub.

GitHub є одним з найбільших сайтів для розміщення коду. Дослідники по всьому світу використовують його для публікації експлойтів PoC, щоб інші члени спільноти могли тестувати патчі, визначати вплив і масштаби помилок у програмах.

Для своїх досліджень фахівці проаналізували понад 47,300 репозиторіїв, що пропонують експлойти для різних вразливостей, виявлених між 2017 і 2021 роками. Для аналізу були використані наступні методи.

  1. Аналіз IP-адрес. Порівняння IP-адреси автора з публічними блеклистами, а також VirusTotal і AbuseIPDB.
  2. Бінарний аналіз. Перевірка наданих виконуваних файлів і їх хешів через VirusTotal.
  3. Розбір шістнадцяткового та Base64 шифрування. Така перевірка спрощує бінарні і IP-перевірки обфускованого коду.

В результаті з 150734 унікальних IP-адрес, 2864 були чорного списку (1522 VirusTotal ідентифікував як зловмисні, ще 1069 були присутні в базі даних AbuseIPDB).

В ході бінарного аналізу був випробуваний набір з 6160 виконуваних файлів, серед яких було знайдено 2164 зловмисних зразків, розташованих в 1398 сховищах. У цьому огляді, в цілому 4,893 з 47,313 протестованих репозитаріїв, були визнані зловмисники, при цьому більшість PoC пов’язані з вразливостями в 2020 році.

Після вивчення деяких з цих експлойтів, дослідники виявили різні скрипти шкідливого програмного забезпечення і шкідливого програмного забезпечення, починаючи від троянів віддаленого доступу до Cobalt Strike.

Наприклад, в одному з прикладів, підроблений PoC для CVE-2019-0708, широко відомий як BlueKeep, містив заплутаний скрипт Python base64, який видобуває VBScript з Pastebin. Таким сценарієм був Houdini RAT, старий троян JavaScript, який підтримує віддалене виконання команд через командний рядок Windows.

В іншому випадку дослідники виявили підроблений експлойт, який був інформаційним стилером, що збирав системну інформацію, IP-адресу, а також інформацію UserAgent з інфікованої системи. Оскільки цей PoC раніше створювався як експеримент іншим дослідником, фахівці вважали його відкриття підтвердженням того, що їх підхід спрацював.

Експерти прийшли до висновку, що не слід сліпо довіряти репозиторіям GitHub, оскільки вміст тут не модерується. Згідно з авторами доповіді, всі тестери повинні виконувати наступні дії перед роботою з експлойтами:

  1. Уважно прочитайте код, який ви плануєте запустити у вашій мережі або клієнтській мережі;
  2. Якщо код занадто складний і аналізується вручну занадто довго, слід покласти його в ізольоване середовище (наприклад, віртуальну машину) і перевірити мережу на підозрілий трафік;
  3. Використовувати інструменти аналізу з відкритим кодом, такі як VirusTotal для тестування бінарних файлів.

Дослідники пишуть, що вони сповістили GitHub про всі зловмисні репозиторії, але для їх перевірки і видалення знадобиться деякий час, тому багато з них все ще доступні всім.

Розробник трояна CodeRAT опублікував первинний програмний код

Первинний програмний код трояна віддаленого доступу CodeRAT опубліковано на GitHub. Це сталося після того, як дослідники безпеки встановили розробника шкідливого програмного забезпечення та закликали його до відповідальності через атаки, в яких використовувався цей «інструмент».

Експерти SafeBreach кажуть, що атаки з використанням CodeRAT будувалися наступним чином: кампанія, судячи з усього, була націлена на розробників з Ірану, які говорять на фарсі. Вони були атаковані документом Word, що містить експлойт DDE.

Цей експлойт завантажив та запустив CodeRAT із репозиторію GitHub зловмисника, надавши віддаленому оператору широкий спектр можливостей після зараження. Зокрема, CodeRAT підтримує близько 50 команд, у тому числі створення знімків екрану, копіювання вмісту буфера обміну, отримання списку запущених процесів, завершення процесів, перевірку використання GPU, завантаження, завантаження та видалення файлів, виконання програм тощо.

Нагадаю, ми також писали про те, що троян ZuoRAT зламує маршрутизатори Asus, Cisco, DrayTek та NETGEAR, а також про те, що троян Qbot скористався відомою вразливістю Follina.

Шкідливість CodeRAT також має широкі можливості для моніторингу веб-пошти, документів Microsoft Office, баз даних, соціальних мереж, IDE для Windows Android, а також порносайтів та окремих сайтів (наприклад, іранської електронної комерції компанії Digikala або веб-месенджера Eitaa) на фарсі) . Крім того, шкідлива програма шпигунить за вікнами таких інструментів, як Visual Studio, Python, PhpStorm та Verilog.

Такий моніторинг, особливо стеження за порносайтами, активністю в соціальних мережах та використання інструментів анонімного перегляду, змушує нас вважати, що CodeRAT – це розвідувальний інструмент, який використовується зловмисниками, пов’язаними з урядом. Зазвичай це спостерігається в атаках, за якими стоїть ісламський режим Ірану, який стежить за незаконними та аморальними діями своїх громадян.” – кажуть експерти.

Для зв’язку зі своїм носієм та крадіжками зібраних даних CodeRAT використовує механізм на основі Telegram, який спирається на загальнодоступний API завантаження анонімних файлів (замість традиційної інфраструктури C&C).

HTTP Debugger used as a proxy for Telegram communication (SafeBreach)

Хоча ця кампанія була раптово перервана, дослідники змогли відстежити розробника шкідливого програмного забезпечення під ніком Mr Moded. Коли SafeBreach зв’язався з розробником CodeRAT, він спочатку не заперечував їх звинувачення, а натомість попросив експертів надати додаткову інформацію.

Після того, як експерти надали пану Модеду докази, що пов’язують його з CodeRAT, він не розгубився і просто розмістив первинний код шкідливого програмного забезпечення на своєму GitHub. Дослідники попереджають, що тепер, з виходом вихідного коду, CodeRAT може набути більш широкого поширення.