Cybersecurity-onderzoekers hebben een nieuwe campagne ontdekt waarin de dreigingsactoren meer dan 67 Github-repositories hebben gepubliceerd die beweren op python-gebaseerde hackingtools aan te bieden, maar in plaats daarvan Trojanised payloads leveren.
De activiteit, Codenaam Banana Squad door Reversinglabs, wordt beoordeeld als een voortzetting van een Rogue Python-campagne die in 2023 werd geïdentificeerd als het richten van de Python Package Index (PYPI) -repository met neppakketten die meer dan 75.000 keer werden gedownload en informatie-steunende capaciteiten kwamen.
De bevindingen bouwden voort op een eerder rapport van het Internet Storm Center van de Sans in november 2024 waarin een veronderstelde “Steam-Account-checker” -tool werd gedetailleerd op GitHub, die stealth-functies hebben opgenomen om extra Python-payloads te downloaden die kwaadaardige code kan injecteren in de Exodus Cryptocurrency Wallet Wallet Wallet Wallet Wallet-app en de externe server (“DieserBeni (.).
Verdere analyse van de repository en de door aanvallers gecontroleerde infrastructuur heeft geleid tot de ontdekking van 67 getrojaniseerde GitHub-repositories die een goedaardige repositories met dezelfde naam voordoen.
Er zijn aanwijzingen dat gebruikers die op zoek zijn naar software zoals accountreinigingshulpmiddelen en game cheats zoals Discord Account Cleaner, Fortnite External Cheat, Tiktok UserName Checker en PayPal Bulk Account Checker de doelen van de campagne zijn. Alle geïdentificeerde repositories zijn sindsdien verwijderd door GitHub.
“Backdoors en Trojanized code in openbaar beschikbare broncode -repositories zoals GitHub komen steeds vaker voor en vertegenwoordigen een groeiende aanvalsvector voor software,” zei Reversinglabs -onderzoeker Robert Simmons.
“Voor ontwikkelaars die afhankelijk zijn van deze open-source platforms, is het essentieel om altijd te controleren of de repository die je gebruikt eigenlijk bevat wat je verwacht.”
GitHub als een malwaredistributieservice
De ontwikkeling komt omdat GitHub in toenemende mate de focus wordt van verschillende campagnes als een malwaredistributievector. Eerder deze week zei Trend Micro dat het 76 kwaadaardige GitHub-repositories heeft ontdekt die worden geëxploiteerd door een dreigingsacteur die het Water Curse noemt om multi-fase malware te leveren.
Deze payloads zijn ontworpen om referenties, browsergegevens en sessietokens te hevelen, en om de dreigingsactoren aanhoudende externe toegang tot de gecompromitteerde systemen te bieden.
Controleer vervolgens Point Light op een andere campagne die een criminele dienst gebruikt die bekend staat als het Stargazers Ghost Network om Minecraft-gebruikers te richten op Java-gebaseerde malware. Het Ghost Network van Stargazers verwijst naar een verzameling GitHub -accounts die malware of kwaadaardige links verspreiden via phishing -repositories.
“Het netwerk bestaat uit meerdere accounts die kwaadaardige links en malware distribueren en andere acties uitvoeren, zoals in de hoofdrol, forken en abonneren op kwaadaardige repositories om ze legitiem te laten lijken,” zei Check Point.
Het Cybersecurity Company heeft ook beoordeeld dat dergelijke ‘GitHub’ Ghost’-accounts slechts een deel van het Grand Picture zijn, met andere ‘Ghost’-accounts die op verschillende platforms actief zijn als een integraal onderdeel van een nog grotere distributie-as-a-service universum. “
Sommige aspecten van het Stargazers Ghost Network werden in april 2024 blootgesteld door CheckMarx, waarbij het patroon van de dreigingsacteur nep -sterren wordt aangeroepen en frequente updates naar voren te duwen om de populariteit van de repositories kunstmatig te verhogen en ervoor te zorgen dat ze bovenaan Github -zoekresultaten opdook.
Deze repositories zijn ingenieus vermomd als legitieme projecten, meestal gerelateerd aan populaire games, cheats of tools zoals cryptocurrency prijstrackers en vermenigvuldigingsvoorspelling voor crash-beting games.
Deze campagnes komen ook aan bij een andere aanvalsgolf die gericht is op beginnende cybercriminelen op de lookout voor direct beschikbare malware- en aanvalshulpmiddelen op GitHub met achterdeurvertitels om ze te infecteren met informatie -stalers.
In één geval dat Sophos deze maand wordt benadrukt, is gebleken dat de Trojanised Sakura-Rat-repository kwaadaardige code heeft opgenomen die degenen die de malware op hun systemen hebben samengesteld, heeft aangetast met informatie-stealers en andere externe toegang Trojans (ratten).
De geïdentificeerde repositories fungeren als een kanaal voor vier verschillende soorten backdoors die zijn ingebed in Visual Studio Prebuild -evenementen, Python -scripts, screensaver -bestanden en JavaScript om gegevens te stelen, screenshots te maken, te communiceren via telegram, en meer payloads, waaronder Asyncrat, Remcos Rat, en Lumma Stealer.
Al met al zei het Cybersecurity Company dat het niet minder dan 133 achterdeurvertissores had gedetecteerd als onderdeel van de campagne, met 111 met de prebuild -achterdeur en de anderen die Python, Screensaver en JavaScript -achterdeuren organiseren.
Sophos merkte verder op dat deze activiteiten waarschijnlijk zijn gekoppeld aan een distributie-as-a-service (DAAS) operatie die sinds augustus 2022 operationeel is, en die duizenden GitHub-accounts heeft gebruikt om malware ingebed te distribueren die zijn ingebed in Trojanized Repositories Thema rond gaming cheats, exploites en aanvalshulpmiddelen.
Hoewel de exacte distributiemethode die in de campagne wordt gebruikt, onduidelijk is, wordt aangenomen dat de dreigingsactoren ook vertrouwen op discord -servers en YouTube -kanalen om links naar de Trojanised repositories te verspreiden.
“Het blijft onduidelijk of deze campagne rechtstreeks is gekoppeld aan sommige of alle eerdere gerapporteerde campagnes, maar de aanpak lijkt populair en effectief te zijn en zal waarschijnlijk doorgaan in een of andere vorm,” zei Sophos. “In de toekomst is het mogelijk dat de focus kan veranderen, en dreigingsactoren kunnen zich richten op andere groepen naast onervaren cybercriminelen en gamers die cheats gebruiken.”
