GitHub-ზე მავნე პროგრამების გავრცელების მასშტაბური სქემა გამოვლინდა. უსაფრთხოების მკვლევარმა პლატფორმაზე 10 000-მდე რეპოზიტორი იპოვა, რომლებიც მომხმარებლებს ტროას ტიპის ვირუსებს სთავაზობენ. ეს რეპოზიტორები ერთმანეთისგან განსხვავებული ავტორებითა და სახელებით გამოირჩევიან, თუმცა ყველა მათგანი საერთო სტრატეგიით მოქმედებს.
როგორ მუშაობს მავნე სქემა?
მკვლევარის თქმით, ჰაკერები იყენებენ რეპოზიტორების კოპირების მეთოდს. ისინი აკოპირებენ ლეგიტიმური პროექტების ისტორიას, კომიტებსა და ავტორთა სიას, რათა მომხმარებლებში ნდობა გამოიწვიონ. ამის შემდეგ, README ფაილში ამატებენ ბმულს ZIP არქივზე, რომელიც მავნე კოდს შეიცავს.
სქემის მთავარი ნაწილია ავტომატიზაცია: რეპოზიტორები პერიოდულად შლიან ძველ კომიტებს და აქვეყნებენ ახალს, რათა პროექტი საძიებო სისტემების შედეგებში ზედა პოზიციებზე დარჩეს. მავნე არქივი, როგორც წესი, შეიცავს შესასრულებელ ფაილებს, როგორიცაა loader.exe ან Application.cmd.
რატომ არის ეს საფრთხე ეფექტური?
- ნდობის ფაქტორი: რეპოზიტორებს აქვთ შენარჩუნებული ორიგინალური პროექტების ისტორია, რაც ქმნის შთაბეჭდილებას, რომ ისინი დიდი ხანია არსებობს.
- საძიებო სისტემების მანიპულაცია: ჰაკერები იყენებენ პოპულარულ თეგებსა და სახელებს, რათა მათი „პროექტები“ მარტივად მოიძებნოს.
- უსაფრთხოების გვერდის ავლა: თავად ZIP არქივი შესაძლოა არ იყოს აღქმული ვირუსად ანტივირუსული სისტემების მიერ, სანამ ის არ გაიხსნება და არ გაეშვება.
მკვლევარმა შექმნა სპეციალური სკრიპტი Git Malware Finder, რომლითაც მსგავსი რეპოზიტორების იდენტიფიცირებაა შესაძლებელი. მისი ანალიზით, GitHub-ის არსებული ალგორითმები ვერ ახერხებენ ამ მასშტაბის საფრთხის ავტომატურ აღმოჩენას, რადგან ჰაკერები მუდმივად ცვლიან კომიტების შინაარსს.
რა უნდა გააკეთონ დეველოპერებმა?
მთავარი რჩევაა სიფრთხილე GitHub-იდან უცნობი პროექტების გადმოწერისას. განსაკუთრებით საეჭვოა ისეთი რეპოზიტორები, რომლებიც მუდმივად ანახლებენ README ფაილს და გვთავაზობენ გარე წყაროდან ZIP არქივების გადმოწერას. ავტორმა აღნიშნა, რომ GitHub-ის მხარდაჭერის გუნდს რეაგირება საკმაოდ დაგვიანებით აქვს, რაც ჰაკერებს მოქმედების დიდ თავისუფლებას აძლევს.
დისკუსია
0 კომენტარი
ჯერ კომენტარი არ არის — იყავი პირველი.