GitHub выявил небольшую кампанию социальной инженерии, нацеленную на личные учётные записи сотрудников технологических фирм. В ходе этой кампании не было скомпрометировано ни одной системы GitHub или npm, заявляет платформа.
Злоумышленники используют комбинацию приглашений в репозиторий и вредоносных зависимостей пакетов npm. Многие из этих атакуемых аккаунтов связаны с блокчейном, криптовалютой или секторами онлайн-гемблинга. Несколько из них принадлежали сотрудникам секторов кибербезопасности.
В GitHub считают, что кампанию организовала группа Jade Sleet или TraderTraitor, связанная с КНДР. Атакующие выдают себя за разработчиков или рекрутеров, создавая одну или несколько поддельных учётных записей на GitHub и в других социальных сетях, в том числе в LinkedIn, Slack и Telegram. В отдельных случаях хакеры используют украденные учётные записи. Они могут инициировать контакт на одной платформе, а затем попытаться перевести общение на другую.
После установления контакта хакер предлагает разработчику совместную работу над репозиторием GitHub и убеждает его клонировать и выполнять его содержимое. Репозиторий может быть общедоступным или частным, он содержит программное обеспечение с вредоносными зависимостями npm. ПО может включать медиаплееры и инструменты для торговли криптовалютой.
Вредоносные пакеты npm загружают и запускают ПО второго уровня на компьютере жертвы. GitHub приводит список доменов, используемых для загрузки.
Злоумышленник часто публикует свои вредоносные пакеты только тогда, когда направляют мошенническое приглашение в репозиторий, сводя к минимуму возможность их проверки. В некоторых случаях хакеры могут доставить вредоносное ПО непосредственно на платформу обмена сообщениями или файлами, минуя этап приглашения в репозиторий.
Механизм первого этапа вредоносного ПО подробно описан в блоге Phylum Security.
В GitHub заблокировали учётные записи, связанные с кампанией, и опубликовали их список. Платформа направила отчёты о злоупотреблениях владельцам доменов.
Пользователям рекомендуют просмотреть журнал безопасности на наличие событий action:repo.add_member, чтобы определить, принимали ли они приглашение в репозиторий от одного из хакеров. Также им следует изучить зависимости и сценарии установки. Недавно опубликованные новые пакеты, скрипты или зависимости, которые устанавливают сетевые подключения во время установки, должны пройти дополнительную проверку. Тем, кто мог стать мишенью кампании, рекомендуется связаться с отделом кибербезопасности работодателя. Если же был запущен вредоносный контент, то требуется сбросить потенциально уязвимые устройства, изменить пароли учётных записей и токены, хранящиеся на потенциально затронутом устройстве.
Между тем группа безопасности компании Nautilus проанализировала выборку из 1,25 млн репозиториев GitHub и обнаружила, что около 2,95% из них уязвимы для атак RepoJacking. Они позволяют злоумышленникам развернуть атаки цепочки поставок, затрагивающие большое количество пользователей.
