EN
 

بیش از ۲۰۰ مخزن آلوده در گیت‌هاب؛ کارزار بدافزاری تازه کاربران بازی و توسعه‌دهندگان را هدف گرفته است

  1. سرتفا»
  2. آخرین خبرها»
  3. عمومی
۰۳ تیر ۱۴۰۴

پژوهشگران امنیت سایبری از یک کارزار گسترده جدید پرده برداشته‌اند که مهاجمان طی آن بیش از ۲۰۰ مخزن آلوده را در گیت‌هاب منتشر کرده‌اند. این مخازن که عمدتا تحت عنوان ابزارهای هک مبتنی بر پایتون معرفی شده‌اند در واقع حامل بدافزارهایی برای سرقت اطلاعات هستند.

شرکت ReversingLabs که این عملیات را با نام «Banana Squad» شناسایی کرده، آن را ادامه‌ای بر کارزاری می‌داند که نخستین‌بار در سال ۲۰۲۳ در مخزن PyPI کشف شد؛ جایی که بسته‌های جعلی با بیش از ۷۵ هزار بار دانلود، به سرقت اطلاعات در ویندوز می‌پرداختند.

در نسخه جدید این عملیات، مهاجمان با جعل نام مخازن مشروع در گیت‌هاب، مخازن تقلبی را منتشر کرده‌اند. این مخازن که ظاهر فریبنده‌ای دارند، اغلب تحت عنوان ابزارهایی مانند «پاک‌کننده حساب دیسکورد»، «چیت فورتنایت»، «بررسی‌کننده نام کاربری تیک‌تاک» یا «بررسی گروهی حساب‌های پی‌پال» شناخته می‌شوند.

به گفته رابرت سیمونز، پژوهشگر ReversingLabs، کدهای آلوده در مخازن عمومی به شکل فزاینده‌ای به یک موضوع جدی در زنجیره تامین نرم‌افزار بدل شده‌اند. وی هشدار می‌دهد توسعه‌دهندگان باید از صحت محتوای مخازنی که استفاده می‌کنند اطمینان حاصل کنند.

این در حالی است که چندین کارزار دیگر نیز از بستر گیت‌هاب برای توزیع بدافزار استفاده کرده‌اند. شرکت Trend Micro از فعالیت گروهی به نام Water Curse خبر داده که از طریق ۷۶ مخزن آلوده، بدافزارهایی چندمرحله‌ای را برای دسترسی دائمی و سرقت اطلاعات توزیع کرده‌اند.

شرکت Check Point نیز از شبکه‌ای به نام Stargazers Ghost پرده برداشته که با جعل ستاره‌ها و دنبال‌کنندگان جعلی، مخازن آلوده را محبوب جلوه می‌دهد. این شبکه مخازنی با ظاهر مرتبط با بازی‌های رایانه‌ای و ابزارهای رمزارز منتشر کرده که در واقع حاوی بدافزار هستند.

در تازه‌ترین نمونه، شرکت Sophos از مخزن آلوده‌ای موسوم به Sakura-RAT پرده برداشته که نه تنها حاوی ابزار دسترسی از راه دور است، بلکه کاربران بی‌تجربه‌ای را هدف می‌گیرد که به دنبال ابزارهای آماده هک در گیت‌هاب هستند.

تحلیل‌ها نشان می‌دهد این کارزارها از ترکیبی از اسکریپت‌های پایتون، فایل‌های اسکرین سیور، کدهای جاوااسکریپت و رخدادهای PreBuild در Visual Studio برای نصب چهار نوع مختلف در پشتی از جمله AsyncRAT، Remcos RAT و Lumma Stealer استفاده می‌کنند.

با توجه به حجم و گستردگی مخازن آلوده (حداقل ۱۳۳ مورد فقط در بررسی Sophos) برآورد می‌شود این عملیات بخشی از یک شبکه بزرگ‌تر موسوم به توزیع به‌مثابه خدمت (DaaS) باشد که از سال ۲۰۲۲ فعال است.

با اینکه هنوز ارتباط دقیق میان این کارزارها روشن نیست، پژوهشگران بر شباهت‌های ساختاری آن‌ها، از جمله استفاده از ایمیلی با دامنه روسی و بهره‌گیری گسترده از گیت‌هاب تاکید کرده و هشدار داده‌اند این روش احتمالا در آینده برای هدف گرفتن گروه‌های دیگری نیز به‌کار خواهد رفت.

توضیحات بیشتر:

200+ Trojanized GitHub Repositories Found in Campaign Targeting Gamers and Developers

آلودگی

به اشتراک بگذارید

بازگشت به بالا

دور زدن احراز هویت دومرحله‌ای جی‌میل توسط هکرهای روسیه