платформа GitHub снова в новостях после обнаружения крупной схемы распространения вредоносного ПО, которая напрямую влияет на экосистему проекты с открытым исходным кодом, связанные с криптовалютамиРасследование, проведенное фирмой по кибербезопасности SlowMist, раскрыл, как различные репозитории, предположительно ориентированные на торговлю в сети Solana, использовались в качестве приманки для кражи средств из кошельков ничего не подозревающих пользователей.
Дело стало достоянием общественности, когда пользователь сообщил об утере средств из своего кошелька после загрузки и выполнения того, что он считал вредоносным ПО. законный торговый бот для Solana. Репозиторий, о котором идет речь, размещен под учетной записью zldp2002 и крестился как solana-pumpfun-bot, сумел привлечь внимание сообщества, быстро зарегистрировав большое количество звезд и вилокЭта деятельность, отнюдь не являясь показателем надежности, маскировала истинную вредоносную природу проекта.
Ключом к атаке было использование зависимости, называемой крипто-layout-utils, уже выведен из официального реестра НПМЧтобы сохранить бэкдор, злоумышленники изменили файл Пакет-lock.json в репозитории, перенаправляя загрузку указанного пакета на URL-адрес, управляемый вручную на GitHubПосле анализа кода эксперты подтвердили, что он включает процедуры для Сканировать локальные файлы на наличие закрытых ключей и кошельков, отправляя информацию на внешний сервер. под контролем преступников.
Организованная сеть поддельных аккаунтов Он использовался для клонирования и принудительного создания нескольких версий этих проектов, искусственно завышая показатели и тем самым расширяя потенциальный охват кампании по распространению вредоносного ПО. В некоторых форках также было обнаружено наличие другой подозрительной зависимости: bs58-encrypt-utils-1.0.3, аналогичным образом используемый для поддержания работоспособности схемы даже после удаления основного пакета из NPM.
Средства перенаправляются на внешние услуги и усложнение атак
Расследование SlowMist на блокчейне позволило отследить часть украденных средств, которые были переведены на платформу FixedFloat. Эти данные демонстрируют высокая степень подготовки к атаке, объединяющий методы манипулирования зависимостями в средах с открытым исходным кодом с механизмами отмывания и сокрытия украденных денег.
Эксперты предупреждают, что подобные инциденты отражают тенденцию к росту сложности атак, направленных на цепочку поставок программного обеспечения. Помимо атак на пакеты, такие как NPM, киберпреступники используют престиж и популярность таких платформ, как GitHub, чтобы… распространять вредоносное ПО под видом законного, что увеличивает риск для разработчиков и пользователей, которые полагаются на эти проекты.
Рекомендации для сообщества Им следует принимать крайние меры предосторожности и избегать использования непроверенных инструментов с открытым исходным кодом, особенно если они управляют цифровыми активами или закрытыми ключами. Крайне важно проверять происхождение репозиториев, анализировать их зависимости и, по возможности, изолировать тестовые среды, чтобы предотвратить дальнейший ущерб.
Этот инцидент выявил еще одну проблему уязвимости при совместной разработке кода, подчеркивая важность сохранения бдительности и постоянного обеспечения проверки и прозрачности перед включением любого инструмента в наш рабочий процесс.
Растущая сложность этих атак делает GitHub объектом будущих кампаний. Поэтому Сообщество разработчиков должно укреплять свою культуру безопасности и способствовать быстрому обнаружению угроз. обмен информацией и передовым опытом.
Крайне важно оставаться в курсе тактик, используемых злоумышленниками на GitHub, и осознавать важность внедрения дополнительных мер безопасности для проектов с открытым исходным кодом, особенно в таких чувствительных секторах, как криптовалюта.
