تیم های تحقیقات امنیتی و علوم داده یک کمپین خرابکارانه را در مقیاسی بسیار بزرگ تر شناسایی کردند که از اواسط سال گذشته آغاز شده است. این حمله زمانی روی بیش از ۱۰۰ هزار مخزن گیت هاب (و احتمالا میلیون ها)تاثیر می گذارد که توسعه دهندگان ناشناس از مخازنی استفاده می کنند که شبیه به مخازن شناخته شده و مورد اعتماد هستند اما در واقع آلوده به کدهای مخرب هستند.

چگونه حملات سردرگمی مخزن اتفاق می افتد؟

مشابه حملات سردرگمی وابستگی، بازیگران مخرب هدف خود را دریافت می کنند تا نسخه مخرب خود را به جای نسخه واقعی دانلود کنند. اما حملات سردرگمی وابستگی از نحوه کار مدیران بسته بهره می برند، در حالی که حملات سردرگمی وابستگی صرفا به انسان ها متکی هستند تا به اشتباه نسخه مخرب را بر روی نسخه واقعی انتخاب کنند، گاهی اوقات تکنیک های مهندسی اجتماعی را نیز به کار می گیرند.

در این حالت، به منظور به حداکثر رساندن احتمال آلودگی، عامل مخرب گیت هاب را با برنامه های مخرب پر می کند که مراحل زیر را دنبال می کنید:

• کلون کردن مخازن موجود (به عنوان مثال: TwitterFollowBot، WhatsappBOT، discord-boost-tool، Twitch-TwitterFollowBot, discord-boost-tool, Twitch-Follow-Bot, و صد ها مورد دیگر)

• آلوده کردن آن ها به بدافزارها

• بارگذاری مجدد آنها به GitHub با نام های یکسان

• به طور خودکار هر یک هزاران بار فورک می شود.

• تبلیغ پنهانی آنها در سراسر وب از طریق انجمن ها، دیسکورد و غیره

وقتی مخزن های مخرب در حال استفاده هستند چه اتفاقی می افتد؟

هنگامی که توسعه دهندگان مشکوک از هر یک از مخزن های (Repos) مخرب استفاده می کنند، محموله پنهان شده هفت لایه مبهم را باز می کند که شامل کشیدن کد پایتون مخرب و سپس یک اجرای باینری است. سپس کد مخرب (که عمدتا نسخه اصلاح شده BlackCap – Grabber است)اعتبارنامه های ورود به سیستم را از برنامه های مختلف، رمزهای عبور مرورگر و کوکی ها و دیگر داده های محرمانه جمع آوری می کند. سپس آن را به سرور C&C (فرمان و کنترل)عوامل مخرب ارسال می کند و مجموعه ای طولانی از فعالیت های مخرب دیگر را انجام می دهد.

اثرات اتوماسیون در گیت هاب

بسیاری از مخزن های فورک شده به سرعت توسط گیت هاب که اتوماسیون را شناسایی می کند، حذف می شوند. با این حال، به نظر می رسد که تشخیص خودکار بسیاری از مخزن ها را از دست می دهد و مخزن هایی که به صورت دستی آپلود شده اند زنده می مانند. از آنجا که به نظر می رسد کل زنجیره حمله در مقیاس بزرگ بیشتر خودکار است، ۱ درصد که باقی می ماند, هنوز هم به هزاران دفعه مخرب می رسد. شما می توانید با جستجوی ساده زیر در گیت هاب، بخش کوچکی از موج فعلی را خودتان بررسی کنید: 2024 language:python

با شمارش مخزن های حذف شده، تعداد مخزن ها به میلیون ها می رسد. معمولا حذف چند ساعت پس از آپلود اتفاق می افتد، بنابراین مستندسازی آن ها چالش برانگیز است. ما می دانیم که حذف خودکار است زیرا بسیاری از تارگت های اصلی هنوز وجود دارند و عمدتا بمب های فورکی را هدف قرار می دهد. به عنوان مثال، در اینجا می توانید هزاران فورک را در خلاصه ببینید اما هیچ کدام در جزئیات وجود ندارد.

به دلیل گستردگی عملیات، این کمپین نوعی اثر شبکه مهندسی اجتماعی مرتبه دوم دارد که هر از چند گاهی، کاربران ساده لوح بدون اینکه متوجه شوند در حال پخش بدافزار هستند، مخزن های مخرب را فریب می دهند. جالب است بدانید که پس از چنین وابستگی شدیدی به اتوماسیون، شاهد گسترش آن توسط انسان ها هستیم.

پیوند منابع