Платформа GitHub знову в новинах після виявлення великої схеми розповсюдження шкідливого програмного забезпечення, яка безпосередньо впливає на екосистему проекти з відкритим кодом, пов'язані з криптовалютамиРозслідування, яке проводила компанія з кібербезпеки Повільний туман, розкрив, як різні репозиторії, нібито зосереджені на торгівлі в мережі Solana, використовувалися як приманка для крадіжки коштів з гаманців нічого не підозрюючих користувачів.
Справа стала публічною, коли користувач повідомив про втрату коштів зі свого гаманця після завантаження та виконання того, що він вважав легальний торговий бот для SolanaРепозиторій, про який йде мова, розміщений під обліковим записом zldp2002 і хрещений як solana-pumpfun-bot, вдалося привернути увагу громади, швидко зареєструвавши велика кількість зірок та вилокЦя діяльність, аж ніяк не свідчила про надійність, маскувала справжню зловмисну природу проєкту.
Ключем до атаки було використання залежності під назвою crypto-layout-utils, вже вилучений з офіційного реєстру НПМЩоб підтримувати бекдор, зловмисники змінили файл package-lock.json у репозиторії, перенаправляючи завантаження зазначеного пакета до URL-адреса, керована вручну, на GitHubПісля аналізу коду експерти підтвердили, що він містить процедури для Сканувати локальні файли на наявність закритих ключів та гаманців, надсилаючи інформацію на зовнішній сервер під контролем злочинців.
Оркестрована мережа фальшивих акаунтів Його використовували для клонування та примусового створення кількох варіантів цих проектів, штучно завищуючи метрики та таким чином розширюючи потенційний охоплення кампанії поширення шкідливого програмного забезпечення. У деяких форках також було виявлено наявність іншої підозрілої залежності: bs58-encrypt-utils-1.0.3, аналогічно використовується для підтримки роботи схеми навіть після видалення основного пакета з NPM.
Кошти, перенаправлені на зовнішні послуги, та зростання складності атаки
Розслідування SlowMist у мережі дозволило відстежити частину викрадених коштів, які були переведені на платформу FixedFloat. Ці дані демонструють, що високий ступінь підготовки до нападу, поєднуючи методи маніпулювання залежностями у середовищах з відкритим кодом із механізмами відмивання та приховування вкрадених грошей.
Експерти попереджають, що такі інциденти відображають тенденцію до зростання складності атак, спрямованих на ланцюг поставок програмного забезпечення. Окрім атак на пакети менеджерів, таких як NPM, кіберзлочинці використовують престиж і популярність таких платформ, як GitHub, для... поширювати шкідливе програмне забезпечення під законним виглядом, що багаторазово збільшує ризик для розробників та користувачів, які покладаються на ці проекти.
Рекомендації для громади Їм слід вживати надзвичайних запобіжних заходів та уникати використання неперевірених інструментів з відкритим кодом, особливо якщо вони керують цифровими активами або закритими ключами. Вкрай важливо перевіряти походження репозиторіїв, аналізувати їхні залежності та, по можливості, ізолювати тестові середовища, щоб запобігти подальшій шкоді.
Цей інцидент висвітлює ще одну проблему вразливості у спільній розробці коду, підкреслюючи важливість пильності та постійного забезпечення перевірки й прозорості перед впровадженням будь-якого інструменту в наш робочий процес.
Зростаюча складність цих атак ставить GitHub у центр уваги майбутніх кампаній. Тому Спільнота розробників повинна зміцнювати свою культуру безпеки та сприяти швидкому виявленню загроз. обмін інформацією та передовим досвідом.
Вкрай важливо бути в курсі тактик, які використовують зловмисники на GitHub, та важливості впровадження додаткових заходів безпеки для проектів з відкритим кодом, особливо в чутливих секторах, таких як криптовалюта.
