Bedreigingsactoren maken nu misbruik van de zoekfunctionaliteit van GitHub om nietsvermoedende gebruikers die op zoek zijn naar populaire opslagplaatsen te misleiden om valse tegenhangers te downloaden die malware aanbieden.
De nieuwste aanval op de toeleveringsketen van open source-software omvat het verbergen van kwaadaardige code in Microsoft Visual Code-projectbestanden die zijn ontworpen om payloads in de volgende fase te downloaden van een externe URL, aldus Checkmarx in een rapport gedeeld met The Hacker News.
“Aanvallers creëren kwaadaardige opslagplaatsen met populaire namen en onderwerpen, waarbij ze technieken als geautomatiseerde updates en nepsterren gebruiken om de zoekresultaten te verbeteren en gebruikers te misleiden”, zegt beveiligingsonderzoeker Yehuda Gelb.
Het idee is om de zoekrangschikkingen in GitHub te manipuleren om door bedreigingsactoren gecontroleerde opslagplaatsen bovenaan te brengen wanneer gebruikers hun resultaten filteren en sorteren op basis van de meest recente updates en de populariteit te vergroten via valse sterren die via nepaccounts zijn toegevoegd.
Door dit te doen geeft de aanval een laagje legitimiteit en vertrouwen aan de frauduleuze repository's, waardoor ontwikkelaars effectief worden misleid om deze te downloaden.
“In tegenstelling tot eerdere incidenten waarbij aanvallers honderden of duizenden sterren aan hun repos toevoegden, lijkt het erop dat de aanvallers in deze gevallen voor een bescheidener aantal sterren hebben gekozen, waarschijnlijk om te voorkomen dat er met een overdreven aantal argwaan zou worden gewekt.” zei Gelb.
Het is de moeite waard om erop te wijzen dat eerder onderzoek van Checkmarx eind vorig jaar een zwarte markt aan het licht heeft gebracht, bestaande uit online winkels en chatgroepen die GitHub-sterren verkopen om de populariteit van een repository kunstmatig te vergroten, een techniek die ook wel sterinflatie wordt genoemd.
Bovendien is het merendeel van deze repository's vermomd als legitieme projecten die verband houden met populaire games, cheats en tools, waardoor een extra laag van verfijning wordt toegevoegd om het moeilijker te maken ze van goedaardige code te onderscheiden.
Er is waargenomen dat sommige opslagplaatsen een gecodeerd .7z-bestand downloaden met daarin een uitvoerbaar bestand genaamd “feedbackAPI.exe” dat is opgeblazen tot 750 MB in een waarschijnlijke poging om antivirusscans te omzeilen en uiteindelijk malware te lanceren die overeenkomsten vertoont met Keyzetsu clipper.
De Windows-malware, die begin vorig jaar aan het licht kwam, wordt vaak verspreid via illegale software zoals Evernote. Het is in staat cryptocurrency-transacties om te leiden naar portemonnees die eigendom zijn van de aanvaller, door het portemonnee-adres te vervangen dat op het klembord is gekopieerd.
De bevindingen onderstrepen de due diligence die ontwikkelaars moeten volgen bij het downloaden van broncode uit open-sourcerepository's, om nog maar te zwijgen van de gevaren van het uitsluitend vertrouwen op reputatie als maatstaf om de betrouwbaarheid te beoordelen.
“Het gebruik van kwaadaardige GitHub-repository's om malware te verspreiden is een aanhoudende trend die een aanzienlijke bedreiging vormt voor het open-source-ecosysteem”, aldus Gelb.
“Door de zoekfunctionaliteit van GitHub te misbruiken en de eigenschappen van de repository te manipuleren, kunnen aanvallers nietsvermoedende gebruikers ertoe verleiden kwaadaardige code te downloaden en uit te voeren.”
De ontwikkeling komt op het moment dat Phylum zei dat het een toename ontdekte in het aantal spampakketten (dat wil zeggen, niet-kwaadaardige) pakketten die door een gebruiker genaamd ylmin in het npm-register werden gepubliceerd om een ”enorme geautomatiseerde cryptolandbouwcampagne” te orkestreren die misbruik maakt van het Tea-protocol.
“Het Tea-protocol is een web3-platform met als doel het compenseren van beheerders van open source-pakketten, maar in plaats van contante beloningen worden ze beloond met TEA-tokens, een cryptocurrency”, aldus het onderzoeksteam van het bedrijf.
“Het Tea-protocol is nog niet eens live. Deze gebruikers zijn landbouwpunten van het 'Incentivized Testnet', blijkbaar met de verwachting dat het hebben van meer punten in het Testnet hun kansen op een latere airdrop zal vergroten.”