GitHub

Мащабна фишинг кампания таргетира хиляди хранилища на GitHub с измамни предупреждения за нарушение на сигурността. Имейлите подмамват разработчиците да разрешат злонамерено OAuth приложение. То предоставя на нападателите пълен контрол над техните акаунти и код.

„Сигнал за сигурност: Необичаен опит за достъп Открихме опит за влизане във вашия акаунт в GitHub, който изглежда от ново място или устройство“, се казва във фишинг съобщението.

То е едно и също за всички таргетирани потребители, като „необичайната активност“ идва от Рейкявик, Исландия, и IP адрес 53.253.117.8. Нападателите призовават разработчиците да актуализират паролата си, да прегледат активните сесии и да активират 2FA, за да защитят акаунтите си. Всички линкове за тези препоръчани действия обаче водят до страница за оторизация на GitHub за OAuth приложение „gitsecurityapp“.

Ако по погрешка сте дали разрешение на злонамереното OAuth приложение, трябва незабавно да отмените достъпа му:

• влезете в Settings на GitHub и след това в Applications;
• забранете достъпа на всички непознати или подозрителни GitHub или OAuth приложения;
• търсете приложения с имена, подобни на „gitsecurityapp“;
• огледайте внимателно за нови или неочаквани GitHub работни процеси и дали са създадени частни gists;
• променете вашите идентификационни данни и токени за оторизация.

Нова хакерска кампания таргетира разработчиците на свободна практика. Тя използва измамни обяви за работа, за да ги подмами да изтеглят зловреден софтуер, маскиран като легитимни инструменти.

Кампанията се разпространява предимно чрез хранилищата на GitHub и разчита на желанието на фрийлансърите да си осигурят възможности за работа от разстояние.

Нападателите се представят за известни компании, които предлагат привлекателни възможности. Създават фалшиви уебсайтове и разпространяват зловреден софтуер под прикритието на професионални инструменти за разработка. Те компрометира системата на жертвата и позволяват кражба на идентификационни данни и инсталиране на допълнителни полезни товари.

За да се предпазят, разработчиците трябва:

• да бъдат внимателни, когато кандидатстват за работа на свободна практика онлайн;
• да проучват задълбочено предложенията и потенциалните работодатели;
• да избягват изтегляния от непознати хранилища на GitHub;
• да поддържат системите си актуализирани с надежден софтуер за сигурност.

Microsoft алармира, че е засечен инструмент за отдалечен достъп (RAT), наречен RevengeRAT, който вероятно е бил използван за разпространяване на фишинг имейли сред компании от секторите: авиация, пътнически и товарни превози.

Фалшивите съобщения приканват служители да отворят изображение, представящо се като PDF файл, което всъщност изтегля злонамерен VB (visual basic) файл.

In the past few months, Microsoft has been tracking a dynamic campaign targeting the aerospace and travel sectors with spear-phishing emails that distribute an actively developed loader, which then delivers RevengeRAT or AsyncRAT. pic.twitter.com/aeMfUUoVvf

— Microsoft Security Intelligence (@MsftSecIntel) May 11, 2021

Попаднал в системата ви, RAT може да открадне пароли, записи от уеб камери, данни от браузъра и всичко, копирано в клипборда.

Microsoft публикува на GitHub разширени заявки, които можете да използвате, ако откриете описаната заплаха в мрежата ви.

 

Опит за директно инжектиране на зловреден код в сорса на PHP е бил засечен и неутрализиран навреме от разработчици.

Тактиката е интересна: хакерите са се опитали да прокарат промени в сорса в официалното Git репо на PHP – git.php.net под формата на мними корекции на тайпота. Те са били пушнати в хранилището php-src така, че да изглеждат подписани от  двамата основни създатели и разработчици на PHP – Попов и Лердорф.

Целта: зловредните кодове са използвани за backdoor – задна вратичка в приложенията, написани на езика, която позволява отдалечен достъп.

PHP е един от основните езици, които все още се използват масово в интернет. На него е написана WordPress – най-големият онлайн CMS, използван в около 30% от сайтовете онлайн. Езикът е с отворен код, което означава, че всеки може да допринесе за неговото развитие. Подобно на WordPress, той има голяма потребителска база, което означава, че успешното му компрометиране би засегнало широк кръг системи (supply chain атака).

Инцидентът е дал повод на екипа по поддръжката на PHP да го премести за постоянно в GitHub, за да повиши сигурността на проекта.

Разработчиците, които досега са имали достъп до хранилищата, трябва да се присъединят към групата PHP на GitHub.

Средно повече от четири години отнема откриването и отстраняването на уязвимости в софтуери с отворен код. И то във време, когато потребителите все по-често разчитат на open source проекти, компоненти и библиотеки (по данни на GitHub).

Предвид факта, че е трудно данните ви да не преминават през поне един компонент с отворен код, сигурността на open source приложенията представлява критичен проблем на киберсигурността в световен мащаб.

17% от тези уязвимости се считат за злонамерени и дават начало на backdoor атаки.