В современном цифровом мире GitHub стал неотъемлемой частью работы миллионов разработчиков и энтузиастов программного обеспечения. Однако именно популярность и массовое использование открытых исходных кодов превращают эту платформу в лакомый кусок для киберпреступников, которые используют ее для распространения вредоносного ПО. Недавнее расследование выявило растущую угрозу — более 67 троянизированных репозиториев, опубликованных в рамках кампании, нацеленной на геймеров и разработчиков, которые ищут полезные инструменты и читы для игр. Эти репозитории маскируются под легитимные проекты, но вместо обещанных функциональных возможностей содержат вредоносные нагрузки и бэкдоры, способные украсть данные и обеспечить злоумышленникам удаленный доступ к системам жертв. Кампания получила название Banana Squad, исследователи компании ReversingLabs считают ее продолжением последней крупной волны атак, начавшейся еще в 2023 году.
Тогда злоумышленники атаковали репозиторий Python Package Index (PyPI), распространяя поддельные пакеты, загруженные свыше 75 тысяч раз, с вредоносным кодом, направленным на кражу информации с Windows-систем. Новая активность расширяет спектр мишеней и методов, включая использование всех возможностей GitHub для маскировки своей деятельности. Особое внимание в рамках кампании уделяется геймерам и начинающим киберпреступникам. Среди популярных целей — инструменты для очистки аккаунтов Discord, читы для игровых приложений Fortnite, проверщики имен пользователей TikTok и массовые проверщики аккаунтов PayPal. К сожалению, именно эти категории пользователей зачастую ищут подобные решения именно в открытых репозиториях GitHub, что делает их уязвимыми к подобным атакам.
Анализ злоумышленнических репозиториев выявил сложные методы маскировки вредоносного кода. Злоумышленники создают проекты с названиями, максимально похожими на оригинальные, доверенные утилиты, чтобы обмануть пользователей. При этом в код внедряются бэкдоры и трояны, которые могут запускать вредоносные скрипты, захватывать скриншоты, похищать данные, перехватывать сессии и передавать их через популярные мессенджеры, такие как Telegram. Среди обнаруженных вредоносных компонентов присутствуют такие известные инструменты, как AsyncRAT, Remcos RAT и Lumma Stealer. GitHub постепенно становится эффективной площадкой для распространения вредоносного ПО, о чем свидетельствуют также другие кампании, выявленные в последнее время.
Например, исследование Trend Micro продемонстрировало 76 злонамеренных репозиториев, связанных с группировкой Water Curse, которые загружали многоэтапные вредоносные нагрузки, способные похищать учетные данные, браузерные данные и обеспечить удаленный контроль над системами. Аналогично Check Point выявил сеть Stargazers Ghost Network, распространяющую Java-малварь среди пользователей Minecraft через специально созданные аккаунты и репозитории с вредоносными ссылками. Специалисты отмечают, что такие злонамеренные сети используют множество методов социальной инженерии и манипуляции метаданными, пытаясь повысить рейтинг и видимость своих репозиториев. Fake-аккаунты, фальшивые звезды, частые обновления – все это позволяет обмануть алгоритмы поиска GitHub и убедить потенциальных жертв установить вредоносное ПО. Эта тактика помогает злоумышленникам добиться популярности своих проектов, несмотря на вредоносную природу.
Отдельного упоминания заслуживает факт, что в рамках кампании с GitHub злоумышленники задействовали разнообразные методы интеграции вредоносного кода. Например, использовались события PreBuild в Visual Studio, внедряемые Python-скрипты, а также эксплойты, скрытые в файлах скринсейвера и JavaScript. Это свидетельствует об осознанном и технически продвинутом подходе к атакующим операциям, направленному на максимальное заражение целевых устройств и получение контроля над ними. Исследовательская компания Sophos выявила по меньшей мере 133 таких репозитория, из которых большинство содержало бэкдоры, встроенные посредством PreBuild скриптов. Отметим, что Sophos связывает эту активность с масштабным бизнесом по распространению вредоносного ПО, который действует с августа 2022 года, используя тысячи учетных записей GitHub.
Особенность этой схемы заключается в том, что злоумышленники не только распространяют вредоносные инструменты, но и заражают пользователей, которые сами пытаются собрать подобный софт, превращая их системы в жертвы информационных краж и атак удаленного доступа. Хотя точные способы распространения вредоносных репозиториев остаются не до конца ясными, эксперты предполагают, что ключевую роль играют коммуникационные площадки вроде Discord и YouTube. Популярные сообщества геймеров и хакеров используют эти площадки для обмена ссылками на репозитории с обещанными читами и инструментами, тем самым невольно способствуя проникновению вредоносных программ. Важным аспектом для разработчиков и пользователей является тщательная проверка репозиториев перед использованием их кода. Несмотря на открытость и удобство GitHub, платформа не лишена рисков, особенно когда речь идет о репозиториях с высокопопулярной тематикой, например, игровыми утилитами или хакерскими инструментами.
Профессионалы рекомендуют всегда осуществлять дополнительные проверки, изучать коммиты, отзывы сообщества и не использовать сомнительные проекты, особенно если они претендуют на официальный статус, но не имеют подтвержденной репутации. Директор и специалист по безопасности Sophos Чет Висневски отметил, что выявленные кампании имеют схожие признаки, что может указывать на общие корни или использование одной и той же базы кода. Это включает в себя использование идентичных имен репозиториев, почтового адреса для коммитов и методов злоупотребления функционалом Visual Studio. Такая ситуация подчеркивает важность международного сотрудничества в области кибербезопасности и необходимость оперативного обмена технической информацией между исследователями. Текущая кампания поднимает серьезные вопросы о прозрачности, безопасности и ответственности на таких массовых платформах, как GitHub.
Для предотвращения подобных угроз разработчики платформы активно внедряют инструменты анализа и проверки кода на наличие вредоносных элементов. Однако конечная ответственность лежит и на самих пользователях, которые должны проявлять осторожность и критическое мышление при использовании открытого программного обеспечения. Рост числа троянизированных репозиториев на GitHub отражает более широкую тенденцию использования открытых сервисов для распространения вредоносных программ. Это свидетельствует о потребности в развитии комплексных систем защиты и просвещении пользователей о рисках, связанных с загрузкой и использованием непроверенного кода. Кроме того, компании и индивидуальные разработчики обязаны регулярно обновлять знания о новых угрозах и применять современные средства мониторинга безопасности.
В будущем вероятно дальнейшее усложнение методов атак и расширение числа жертв. Угрозы могут перерасти границы гейминга и начинающих злоумышленников, затрагивая более широкие категории пользователей, включая корпоративных разработчиков и ИТ-специалистов. Такой прогноз подчеркивает необходимость комплексного подхода к защите ПО, включающего сочетание технологических решений и повышения осведомленности пользователей. В заключении следует отметить, что найденная кампания с троянизированными репозиториями на GitHub представляет реальную и серьезную угрозу как для простых пользователей, так и для профессиональных разработчиков. Она показывает, как легко злоумышленники используют доверие открытого сообщества для своих целей и насколько важно повышать уровень безопасности при работе с открытым кодом.
Только совместные усилия технологических компаний, исследовательских организаций и конечных пользователей смогут остановить распространение подобных атак и сохранить надежность цифровой экосистемы.
