Исследователи обратили внимание, что хакеры злоупотребляют GitHub для распространения малвари. Например, злоумышленники используют URL-адреса, связанные с репозиториями Microsoft, в результате чего файлы кажутся безопасными.
На прошлой неделе эксперты McAfee рассказывали о фальшивом читерском ПО, которое на самом деле представляло собой модификацию инфостилера Redline. В ходе изучения этой кампании исследователи заметили, что вредоносные полезные нагрузки фальшивых читов используют URL-адреса, связанные с GitHub-репозиторием vcpkg, принадлежащим компании Microsoft:
https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip
https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip
Журналистам издания Bleeping Computer показалось странным, что репозиторий Microsoft распространяет малварь с февраля 2024 года, никто этого не заметил, а ссылок на упомянутые файлы в исходном коде проекта обнаружить не удалось.
Представители издания решили разобраться в ситуации и выяснили, что файлы не являются частью vcpkg, а были загружены в виде комментариев, оставленных к коммитам и issue.
Дело в том, что оставляя комментарий на GitHub, пользователь может прикрепить к нему файл, который в итоге будет загружен в CDN GitHub и связан с соответствующим проектом с помощью уникального URL в формате: https://www.github[.]com/{project_user}/{repo_name}/files/{file_id}/{file_name}. Для видео и изображений файлы путь будет использовать /assets/.
При этом, вместо генерации URL после публикации комментария, GitHub автоматически генерирует ссылку на скачивание сразу после добавления файла в еще несохраненный комментарий. Это позволяет хакерам связывать свою малварь с любым репозиторием, без ведома его владельцев.
Более того, даже если комментарий в итоге не будет опубликован (или будет удален сразу после публикации), файлы не удалятся из CDN GitHub, а URL-адреса продолжат работать.
Журналисты отмечают, что в URL-адресе при этом все равно видно название репозитория компании-жертвы, что позволяет злоумышленникам создавать весьма хитрые и правдоподобные приманки.
Например, хакер может загрузить исполняемый файл малвари в репозиторий Nvidia для установки драйверов, и вредонос может маскироваться под новый драйвер, исправляющий проблемы в какой-либо популярной игре. Или атакующий может загрузить файл в комментарии к исходному коду Google Chromium и заявить, что это новая тестовая сборка браузера.
Даже если компания узнает, что ее репозитории используются для распространения вредоносного ПО, не существует никаких настроек, позволяющих управлять файлами, прикрепленными к проектам. То есть защитить аккаунт GitHub от подобных злоупотреблений можно только отключив комментарии. А сделать это можно лишь временно, не более чем на шесть месяцев.
Сергей Франкофф (Sergei Frankoff), специалист сервиса автоматизированного анализа вредоносного ПО UNPACME, еще в прошлом месяце провел на Twitch трансляцию, посвященную этой проблеме, и заявил, что злоумышленники активно ею пользуются.
В ходе изучения проблемы Bleeping Computer удалось найти еще один репозиторий (httprouter), который тоже использовался для распространения малвари. Причем это был тот же самый фальшивый чит Cheater.Pro.1.6.0.zip, что и в случае с URL-адресами Microsoft.
Однако Франкофф сообщил изданию, что в марте обнаружил еще одну аналогичную кампанию, в которой использовался тот же LUA-загрузчик, SmartLoader, замаскированный под читерский софт Aimmy. По словам эксперта, SmartLoader обычно устанавливается вместе с другими полезными нагрузками, такими как уже упомянутый стилер RedLine.
Представители Bleeping Computer связались с GitHub и Microsoft по поводу этой проблемы, но не получили ответа. В минувшие выходные с GitHub удалили малварь, связанную с репозиториями Microsoft. Однако вредоносы, связанные с httprouter и Aimmy, по-прежнему доступны, а их URL-адреса работают.
UPD.
Bleeping Computer выяснил, что аналогичная проблема затрагивает и GitLab. В этом случае сгенерированные ссылки на файлы тоже остаются активными, даже если комментарий не был опубликован или был сразу удален.