最近,安全公司Apiiro的一份报告揭示了一种名为“仓库混淆”攻击,该攻击已经影响了GitHub上的超过100,000个仓库。
这种攻击利用了Git版本控制系统处理仓库名称的漏洞,可能导致恶意代码被注入到合法的仓库中。
这突显了需要改进的安全措施,以防止此类攻击并保护存储在GitHub上的代码的完整性。
这种攻击技术利用了GitHub平台的广泛规模和未受保护的可访问性,对未做好准备的开发者发起攻击。
攻击是如何进行的?
1.克隆流行仓库:攻击者针对像TwitterFollowBot、WhatsappBOT等流行仓库,并创建它们的仿制副本。
2.注入恶意软件:这些副本中插入了旨在窃取登录凭证、浏览器数据和其他敏感信息的恶意软件。
3.上传到GitHub:感染了恶意代码的仓库以与原仓库相同的名称重新上传到GitHub,希望不知情的开发者会误选它们。
4.传播并欺骗:攻击者使用自动化创建这些恶意仓库的数千个副本,并通过开发者常去的在线论坛和平台推广它们。
在不知情的开发者使用这些被污染的仓库时,他们会无意中解包一个包含七层混淆的隐藏有效载荷。
这个过程涉及提取恶意Python代码和一个可执行的二进制文件,特别是一个修改过的BlackCap-Grabber版本。
这段恶意代码旨在收集敏感信息,如来自各种应用程序的登录凭证、与浏览器相关的数据(如密码和cookies)以及其他机密信息。
之后,它将所有收集的数据传输给攻击者的命令和控制服务器。这会引发一系列额外的恶意活动。
攻击的范围
根据Apiiro的研究,自2023年中期开始的攻击活动在近几个月中势头不断增强。
已确认感染的仓库数量已超过100,000个,实际数量有可能达到数百万。
-
2023年5月:包含当前有效载荷部分的恶意包出现在PyPI(Python包索引)上。
-
2023年7月至8月:在PyPI移除恶意包后,攻击者转向直接将感染的仓库上传到GitHub。
-
2023年11月至今:检测到超过100,000个感染的仓库,数量还在不断增长。
来源:cybersecuritynews